• Artículo

Windows Vista

Prescinda de cuentas de administrador con Control de cuentas de usuario

Alex Heaton

 

Resumen:

  • Por qué no se debe usar habitualmente la cuenta de administrador
  • Solución de problemas a través del uso de la cuenta de usuario estándar
  • Funcionamiento de Control de cuentas de usuario

En la mayoría de las organizaciones de TI, la reducción del número de usuarios que disponen de privilegios de administrador representa un objetivo encomiable. Pero, si bien los administradores de TI suelen estar de acuerdo en que esta reducción debe hacerse asignando a los usuarios una cuenta estándar, alrededor de un 80% implementan sus escritorios con cuentas de administrador, lo que hace que esos equipos

resulten más vulnerables al malware y más difíciles de administrar. Pero no es tan fácil prescindir de la cuenta de administrador. Los posibles obstáculos a los que debe hacerse frente son numerosos.

En primer lugar, está la compatibilidad de las aplicaciones. Dado que muchas aplicaciones se programaron y probaron con cuentas de administrador, quizá no lleguen a funcionar con cuentas estándar. (Esto ocurre con frecuencia cuando las aplicaciones intentan escribir en áreas restringidas, como el directorio Archivos de programa o las claves del Registro HKLM.)

En segundo lugar, las versiones anteriores de Windows® eran excesivamente restrictivas con respecto a los parámetros que podían configurar los usuarios. Los usuarios estándar no podían cambiar la zona horaria, la configuración de energía, conectarse a redes inalámbricas seguras ni instalar controles ActiveX® sin llamar al departamento de soporte, con los costos que eso suponía.

Afortunadamente, Windows Vista™ da respuesta a esas necesidades. Y aunque los usuarios no tengan cuentas de administrador, Control de cuentas de usuario (UAC) y otras tecnologías de administración de Windows Vista facilitan el soporte y la administración de esos escritorios, contribuyen a aumentar la productividad de los usuarios que utilizan cuentas estándar y, además, se evitan los desajustes de seguridad que origina la modificación de las listas de control de acceso (que es el método habitual para ampliar el acceso personalizado de los usuarios). Examinemos con mayor detenimiento cómo contribuye Windows Vista a paliar algunos de los problemas de control de acceso.

La virtualización mejora la compatibilidad

Muchas aplicaciones que no se ejecutarían en una cuenta de usuario estándar en Windows XP podrán ejecutarse sin necesidad de modificaciones en Windows Vista, gracias a las opciones de virtualización de archivos y del Registro. En Windows XP, muchas aplicaciones se bloquean cuando intentan escribir en áreas protegidas del sistema de archivos y del Registro cuyo acceso no está permitido con una cuenta de usuario estándar. Windows Vista mejorará la compatibilidad al redirigir la escritura (y las subsiguientes lecturas de archivos o del Registro) a una ubicación especial dentro del perfil del usuario. Por ejemplo, si una aplicación intenta escribir en C:\archivos de programa\contoso\settings.ini y el usuario no tiene permiso para escribir en ese directorio, la escritura se redirigirá a C:\Usuarios\usuario\AppData\Local\VirtualStore\Archivos de programa\contoso\settings.ini. Si una aplicación intenta escribir en HKLM\Software\Contoso\, la acción se redirigirá automáticamente a HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso. En la figura 1 se ilustra el proceso de redirección. Además, el programa del logotipo de software certificado para Windows Vista requerirá que una aplicación se ejecute con una cuenta de usuario estándar sin necesidad de virtualización; en caso contrario, no se otorgará el logotipo para esa aplicación.

Figure 1 Proceso de virtualización de archivos y del Registro

Figure 1** Proceso de virtualización de archivos y del Registro **

Los usuarios estándar pueden llegar más lejos

En Windows Vista, las cuentas de usuario estándar han recibido más privilegios para que los usuarios puedan realizar tareas comunes sin necesidad de recurrir al departamento de soporte y aunque no dispongan del conjunto completo de instrucciones que proporciona una cuenta de administrador. Entre los nuevos privilegios se encuentran la posibilidad de ver el reloj del sistema y el calendario, cambiar la zona horaria, modificar la configuración de seguridad de la red inalámbrica, cambiar la configuración de administración de energía, y descargar e instalar actualizaciones críticas desde Windows Update.

Además, la desfragmentación de disco es un proceso programado automáticamente en Windows Vista. Las acciones que requieren privilegios de administrador aparecen marcadas con un icono en forma de escudo, para que los usuarios puedan ver qué cambios de configuración pueden hacer y cuáles no.

Instalación de controles ActiveX

Los controles ActiveX pueden resultar difíciles de administrar de un modo centralizado, ya que existe la posibilidad de que se actualicen con frecuencia y deben ser empaquetados nuevamente para su distribución mediante programas tales como Systems Management Server (SMS) o a través de la directiva de grupo. Windows Vista incluye un componente opcional, el Servicio de instalador de ActiveX, que permite a los administradores de TI usar la directiva de grupo para especificar sitios Web desde los cuales podrán instalarse controles ActiveX a través de cuentas de usuario estándar. Para usar el Servicio de instalador de Active X, haga lo siguiente:

  1. Habilite el Servicio de instalador de ActiveX en los equipos cliente. Puede habilitar el servicio a través del subprograma del Panel de control de características de Windows, o bien cuando configure la imagen de su escritorio.
  2. En la directiva de grupo de Active Directory, en Configuración de equipos | Plantillas administrativas | Componentes de Windows, seleccione el Servicio de instalador de ActiveX. Seleccione Habilitar. Ahora, una vez que la directiva se haya replicado a los usuarios, éstos podrán instalar controles desde los sitios que especifique.

Dado que los controles ActiveX y otro código ejecutable podrían llevar a cabo tareas malintencionadas, deberá usar esta característica con precaución; empléela únicamente con proveedores en los que confíe y sólo en sitios de intranet sometidos a un control estricto.

El Servicio de instalador de controles ActiveX también se integra con la infraestructura de eventos de Windows Vista, por lo que puede recibir notificaciones de forma automática si hay algún control ActiveX que los usuarios deban instalar. Cuando a través de una cuenta de usuario estándar se intenta instalar un control que no ha sido aprobado, el servicio crea un evento en el registro de la aplicación. En Windows Vista es posible configurar las tareas para que se envíe automáticamente un mensaje por correo electrónico o se ejecute otro programa cuando se desencadena un evento. Así puede saber cuándo necesita un control un usuario y agregar el sitio a la directiva de grupo sin que el usuario tenga que esperar mucho tiempo. Con Windows Vista también puede suscribirse a eventos de varios equipos de la empresa y generar una lista con todos los controles que los usuarios intentan instalar.

Instalación de controladores de dispositivos de hardware

La preocupación de que los usuarios no puedan instalar controladores de dispositivos necesarios para su trabajo en los desplazamientos es otro motivo por el que los permisos de administrador siguen usándose con tanta frecuencia, sobre todo entre quienes usan equipos portátiles. La nueva infraestructura de almacén de controladores de Windows Vista contribuye a sortear este obstáculo al permitir un control flexible de los dispositivos que pueden instalar los usuarios con cuentas estándar. En primer lugar, puede rellenar previamente el almacén de controladores con controladores de confianza, de modo que los usuarios tengan la posibilidad de instalar dispositivos permitidos cuando los necesiten. En segundo lugar, se puede usar la directiva de grupo para otorgar a los usuarios con cuentas estándar permiso para instalar clases de dispositivos, tales como impresoras, o incluso Id. de hardware de dispositivos específicos, como unidades flash permitidas.

Dado que el almacén de controladores de Windows Vista es una caché de confianza de controladores de serie y de otros fabricantes que se encuentra en la unidad de disco duro de cada equipo cliente, los usuarios no necesitan privilegios de administrador para instalarlos. Para agregar controladores al almacén de controladores, puede hacerlo a través de imágenes sin conexión o actualizar dinámicamente los controladores en clientes con conexión a través de la red. En el caso de las imágenes sin conexión, use el Administrador de paquetes para agregar los controladores directamente al almacén de controladores.

Para las imágenes con conexión, use utilidades de línea de comandos como pnputil.exe o DevCon junto con aplicaciones de distribución de software para agregar, actualizar o eliminar controladores del almacén de controladores. Para agilizar aún más y aumentar la flexibilidad del proceso de adición de controladores, Windows Vista permite a los departamentos de TI y a terceros la posibilidad de firmar los paquetes de los controladores a fin de confirmar su integridad.

De forma predeterminada, sólo los usuarios con derechos de administrador pueden agregar nuevos controladores al almacén de controladores. Pero algunos usuarios, sobre todo los que se desplazan, necesitan de forma imperativa instalar ciertos dispositivos (tales como impresoras) cuando viajan. Con la nueva configuración de directiva de grupo, Windows Vista le permite brindar a los usuarios con cuentas estándar la flexibilidad que necesitan para instalar dispositivos permitidos aunque no se hayan agregado al almacén de dispositivos. Para delegar privilegios de adición de controladores de dispositivos, abra la interfaz de directiva de grupo y desplácese hasta Configuración de equipos | Plantillas administrativas | Sistema | Instalación de controladores y especifique que se permita que los usuarios que no sean administradores instalen controladores para estos dispositivos. Necesitará conocer el GUID de las clases de dispositivos que desea que puedan agregar e instalar los usuarios con cuentas estándar. Puede buscar las clases de dispositivos en línea a través de MSDN® o, si el dispositivo está instalado en el equipo, vaya a Administrador de dispositivos | Propiedades. Haga clic en la ficha Detalles y seleccione el elemento desplegable correspondiente al GUID de la clase de dispositivo. También deberá asegurarse de que los certificados que se usan para firmar los controladores ya se encuentran en el almacén de editores de confianza, que se puede administrar a través de la directiva de grupo.

Estos avances de Windows Vista proporcionan ahora a los usuarios con cuentas estándar la flexibilidad necesaria para la instalación de dispositivos, con lo que podrá trasladar más usuarios a un entorno de escritorio administrado.

Niveles de bloqueo de escritorio

Aun con estas mejoras del sistema operativo Windows Vista, no todas las organizaciones podrán implementar la totalidad de sus escritorios Windows Vista con permisos de usuario estándar. En algunas organizaciones todavía hay aplicaciones que precisan privilegios de administrador; o puede que haya usuarios, como los desarrolladores, que deban instalar su propio software. Esto no supone ningún problema. Windows Vista posibilita varios niveles de control de escritorio, que se pueden configurar a través de la selección de cuentas de usuario y de la directiva de grupo, y que ofrecen mayor facilidad de administración y seguridad que una cuenta con todos los privilegios de administrador en Windows XP. La mayoría de los parámetros del sistema que afectan a la configuración de Control de cuentas de usuario pueden encontrarse en el editor de directivas de seguridad (secpol.msc), que se muestra en la figura 2.

Figure 2 Editor de directivas de seguridad

Figure 2** Editor de directivas de seguridad  **(Hacer clic en la imagen para ampliarla)

El primer nivel de control se denomina Modo de aprobación de administrador. Con este modo se reduce la amenaza asociada a algunos tipos de ataques de malware, ya que se inician los programas con privilegios de usuario estándar de forma predeterminada y se avisa al usuario en caso de que un programa intente ejecutarse con privilegios de administrador. En este modo puede realizar auditorías a través del registro de sucesos cuando el usuario ejecuta un programa que requiere derechos de administrador. Pero tenga en cuenta que, aunque una aplicación se pueda ejecutar con privilegios de usuario estándar, este modo no proporciona el mismo nivel de seguridad que si se tratara de una auténtica cuenta de usuario estándar. El usuario sigue teniendo privilegios de administrador y puede cambiar parámetros de configuración de directivas, instalar software no aprobado y permitir la instalación de malware, del tipo rootkit.

El siguiente nivel se basa en el primero, pero se usa la directiva de grupo para limitar la elevación a los programas firmados con un certificado que se encuentre en el almacén de editores de confianza. Esto puede contribuir a evitar que programas de malware no firmado obtengan privilegios de administrador y a impedir que los usuarios instalen software de manera arbitraria. Sin embargo, a través de una cuenta de administrador, los usuarios expertos o sin escrúpulos e, incluso, los programas de malware sofisticado podrían deshabilitar la directiva, al menos provisionalmente, para realizar operaciones no autorizadas. Por lo tanto, estos dos primeros niveles deberían usarse como medidas provisionales mientras se resuelvan los problemas que pudieran impedirle crear auténticas cuentas de usuario estándar.

El siguiente nivel de seguridad consiste en convertir en usuarios estándar a usuarios que utilizaban cuentas de administrador. Una de las características de Control de cuentas de usuario es el cuadro de diálogo Over the Shoulder Credentials (credenciales informales), que los usuarios estándar verán de forma predeterminada si inician un programa para el que se requieren credenciales de administrador. Los usuarios estándar no pueden realizar esa acción, pero si conocen el nombre de usuario y la contraseña de un administrador, tienen la posibilidad de introducirlos y continuar con la operación. Una situación típica en la que podría usarse esta característica sería la de un usuario profesional que se desplaza con un equipo portátil. Si, por ejemplo, el usuario tiene que instalar con urgencia un componente de software mientras viaja, puede llamar al departamento de soporte, desde donde le facilitarían la contraseña de una cuenta de administrador local, que permitiría al usuario entrar y permitir la ejecución del programa (consulte la figura 3). Si proporciona la contraseña de administrador al usuario, es recomendable que disponga de procesos y herramientas para restablecer la contraseña de administrador cuando el usuario vuelva a conectarse a la red, y que registre los programas que se han ejecutado con las credenciales de administrador. Tenga también en cuenta que si el equipo ha sido infectado por malware, se puede engañar al administrador para que otorgue a los demostradores privilegios de ejecución del malware que no habrían usado de forma voluntaria.

Figure 3 Necesidad de una contraseña de administrador

Figure 3** Necesidad de una contraseña de administrador **(Hacer clic en la imagen para ampliarla)

También puede deshabilitar las credenciales a través de la directiva de grupo. Establezca la opción Control de cuenta de usuario: comportamiento del indicador de elevación para los usuarios estándar de modo que se denieguen automáticamente las solicitudes de elevación (consulte la figura 4). Éste es el método de configuración de Control de cuentas de usuario que recomendamos a la mayoría de las empresas que implementen escritorios de usuarios estándar. La mayoría de las organizaciones realizarían esta operación para impedir que el usuario llame al departamento de soporte a fin de obtener una contraseña que el departamento de TI no desea que tengan.

Figure 4 Aplicación bloqueada por directiva de grupo

Figure 4** Aplicación bloqueada por directiva de grupo **(Hacer clic en la imagen para ampliarla)

Para contar con el nivel máximo de bloqueo del escritorio, puede usar Control de cuentas de usuario y las cuentas de usuario estándar en combinación con directivas de restricción de software de Windows. Con directivas de restricción de software, las empresas pueden ir un paso más allá y evitar que se ejecute software que no se haya autorizado específicamente. Las directivas de restricción de software se han diseñado para impedir la ejecución de software que no cumpla determinados criterios, con arreglo al certificado Authenticode®, hash, ruta o zona de Internet. La administración de directivas de restricción de software se realiza a través de la directiva de grupo, y existe la posibilidad de crear con muy poco esfuerzo una directiva de gran eficacia para impedir la instalación y ejecución de programas no aprobados. Una directiva típica no autorizaría ningún archivo ejecutable, excepto los que se encuentren en estas rutas de acceso: %WINDIR% y %PROGRAMFILES%; y aplicarían directivas a todos los usuarios, excepto a los administradores.

Con esta directiva, el personal de TI aún puede instalar los programas de software que desee en el directorio Archivos de programa sin necesidad de agregar cada .exe a una lista "blanca" (de elementos aceptados). Y, dado que el usuario estándar no tiene acceso a estos directorios, no puede colocar ningún archivo para que se ejecute.

Como verá, no hemos hablado del grupo Usuarios avanzados. Es debido a que el grupo Usuarios avanzados se ha quitado de Windows Vista. En algunas organizaciones se usaba el grupo Usuarios avanzados para intentar limitar los privilegios de administrador. Si bien la asignación de privilegios de usuario avanzado contribuye a evitar que un usuario realice configuraciones del sistema no aprobadas, éste (o un programa de malware que se ejecute con credenciales de usuario avanzado) puede obtener derechos y permisos adicionales e, incluso, credenciales administrativas completas. Por eso, Windows Vista incluye como tipos de cuenta principales la de administrador y la de usuario estándar.

Infraestructura de administración de escritorio

Con el uso de la virtualización de archivos y del Registro, la nueva infraestructura del almacén de controladores y las otras características que hemos descrito, resultará mucho más fácil la implementación de escritorios Windows Vista con cuentas de usuario estándar. No obstante, incluso con ayuda de esas técnicas, no podrá contar con un entorno orientado exclusivamente a las cuentas de usuario estándar si no dispone de la infraestructura de administración (herramientas, procesos y personal) para dar soporte a los usuarios que no puedan realizar determinadas operaciones directamente. A continuación se señalan algunas de las cuestiones que hay que tener en cuenta:

Instalación de software Si los usuarios no pueden instalar software directamente, deberá procurarles otro método. Un medio que no requiere software adicional de administración consiste en usar la directiva de grupo. Con la directiva de grupo, puede agregar un programa a la lista de Agregar o quitar programas. Si un usuario instala un programa de ese modo, el software se iniciará con los permisos elevados necesarios para que el usuario lleve a cabo la instalación. Para una solución con más opciones, también se puede usar SMS o un producto similar. Algunas soluciones permiten incluso crear portales Web de servicio personalizado, en los que los usuarios con privilegios estándar pueden elegir el software que desean instalar.

Actualización de software Necesitará algún medio para instalar actualizaciones en los equipos, y no precisamente el envío de un mensaje por correo electrónico en el que diga "Instalen esta actualización". Para administrar e implementar la mayoría de las actualizaciones de Microsoft tiene la posibilidad de usar Windows Server Update Services, que se puede descargar gratuitamente para Windows Server. Si desea implementar una gama más amplia de actualizaciones, quizá también en ese caso deba considerar la posibilidad de usar un producto de administración de escritorio, como SMS.

Procesos de soporte y dotación de personal Cuando un usuario llama al departamento de soporte debido a un problema de rendimiento del sistema o porque desea instalar algún programa nuevo, no siempre será posible explicar el proceso por teléfono; entre otras cosas, porque quizá el usuario no cuente con los permisos necesarios. Su departamento de TI deberá recurrir con más frecuencia a herramientas de asistencia y administración remotas para diagnosticar problemas y cambiar parámetros de configuración. Incluso la asistencia remota de Windows funcionará de un modo distinto, ya que los usuarios estándar registrados no pueden aprobar los mensajes interactivos que requieren privilegios de administrador, aunque el personal del departamento de soporte podría usar Escritorio remoto para realizar cambios administrativos a distancia.

Será fundamental contar con procesos claros y eficaces para el control de excepciones de directiva. Supongamos que alguien del departamento de marketing necesita instalar una versión de prueba de una nueva herramienta de diseño gráfico que deben evaluar. ¿Quién concede la aprobación para instalar ese software: su inmediato superior, el director del departamento o el director de tecnologías de información? ¿Cómo se instala y cuánto tendrá que esperar? Recomendamos que se cree un flujo de trabajo simple para la aprobación que se integre con el sistema de seguimiento de problemas del departamento de soporte. Un flujo de trabajo básico podría ser el siguiente:

  1. El usuario envía la solicitud de instalación de un programa y el vínculo al programa de instalación (en su unidad de disco duro local o en su bandeja de CD), y confirma que el software no se obtuvo de forma ilegal y que no se va a usar con fines malintencionados.
  2. Se envía una solicitud al responsable para obtener la aprobación.
  3. La solicitud se encamina al responsable de aplicaciones del departamento de TI, que puede asegurarse de que no existen problemas de compatibilidad, realizar una detección de virus y comprobar si la compañía no ha comprado ya una licencia para ese programa o para alguno similar de otro proveedor.
  4. La solicitud se reenvía a un técnico de soporte para que inicie de forma remota la instalación y avise al usuario cuando el software esté listo para ser usado.

Para crear la interfaz del flujo de trabajo podría programar páginas Web dinámicas u obtener un paquete comercial del departamento de soporte o de seguimiento de problemas. También necesitará dotación de personal, en mayor o menor medida, en función de si se trata de un entorno administrado o no administrado. Con suerte, necesitará menos técnicos para diagnosticar físicamente o repetir la imagen de equipos inestables o infectados. Sin embargo, quizá deba asignar inicialmente más personal al empaquetado y la implementación del software.

A largo plazo, los costos de soporte se reducirán, ya que los equipos se mantendrán estables durante más tiempo; pero al principio es posible que aumente el número de llamadas al departamento de soporte de usuarios que solicitan ayuda para la configuración. Las llamadas al departamento de soporte disminuirán gradualmente tras la configuración de las imágenes de escritorio y de las directivas de grupo con los parámetros que los usuarios necesitan y esperan.

Cultura

El obstáculo final no es tecnológico, sino psicológico. Algunos usuarios pueden reaccionar de forma adversa ante la idea de no disponer de privilegios de administrador. Pero creo que la mayoría no notará la diferencia. Y si implementa Windows Vista al mismo tiempo que introduce las cuentas de usuario estándar, las ventajas en términos de productividad que aporta la búsqueda de escritorio integrada, la nueva interfaz de usuario Aero™ (con aspecto de cristal translúcido) y las mejoras para los usuarios que se desplazan compensarán sobradamente cualquier molestia derivada de no tener privilegios de administrador. Sin embargo, si los procesos no están optimizados y se producen largas esperas para obtener permisos de instalación de software, es más que probable que los empleados tengan motivos para estar descontentos.

Básicamente, el departamento de TI es responsable de garantizar la seguridad de los equipos informáticos, impedir el uso de software sin licencia y exigir el cumplimiento de las leyes y de las directivas internas. En la mayoría de las empresas se constatará que la única forma de conseguirlo es poniendo en marcha una nueva directiva para restringir el número de usuarios con privilegios de administrador. Afortunadamente, eso resultará mucho más fácil con Windows Vista.

Recursos adicionales

Para obtener ayuda acerca de la reducción de privilegios de administrador:

Alex Heaton es jefe de producto senior del equipo de seguridad de Windows Vista. Anteriormente fue responsable de sitios Web de seguridad de Microsoft, entre los que se encuentra microsoft.com/protect. También colabora en el blog del equipo de Control de cuentas de usuario en blogs.msdn.com/uac.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.