Guía paso a paso sobre el Control de cuenta de usuario de Windows Vista

En esta guía paso a paso se ofrecen las instrucciones necesarias para utilizar el Control de cuenta de usuario (UAC) en un entorno de laboratorio de pruebas.

El objetivo de este documento no es ofrecer una descripción completa y detallada de UAC. Se tiene prevista la publicación de documentación adicional sobre UAC antes del lanzamiento de los sistemas operativos Microsoft® Windows Vista™ y Windows Server "Longhorn". Entre estos recursos adicionales se incluyen:

• Los usuarios de esta guía paso a paso encontrarán de especial interés el artículo Introducción a la protección de cuentas de usuario en Windows Vista Beta 1 (https://go.microsoft.com/fwlink/?LinkID=56402).

• Los profesionales de la tecnología de la información encontrarán información adicional en el artículo Understanding and Configuring User Account Control in Windows Vista (https://go.microsoft.com/fwlink/?LinkId=66020) (en inglés).

• Los desarrolladores y proveedores de software independientes encontrarán más información sobre el desarrollo de aplicaciones para Windows Vista en el artículo Windows Vista Application Development Requirements for User Account Control Compatibility (https://go.microsoft.com/fwlink/?LinkId=66021) (en inglés).

¿En qué consiste Control de cuenta de usuario?

El Control de cuenta de usuario (UAC) es un nuevo componente de seguridad incluido en Windows Vista. UAC permite realizar tareas habituales tanto a los usuarios sin privilegios de administración (denominados usuarios estándar en Windows Vista) como a los administradores, sin tener que cambiar de usuario, cerrar sesión ni utilizar el comando Ejecutar como. Una cuenta de usuario estándar equivale a una cuenta de usuario de Windows XP. Las cuentas de los usuarios que sean miembros del grupo local de administradores ejecutarán la mayor parte de las aplicaciones como usuarios estándar. Al separar las funciones de usuario y administrador, al tiempo que se mantiene un alto nivel de productividad, UAC constituye una importante mejora para Windows Vista.

Cuando un administrador inicia sesión en un equipo con Windows Vista , al usuario se le asignan dos token de acceso independientes. Windows® utiliza estos token de acceso, los cuales contienen los datos de pertenencia de miembros de grupo, de autorización y de control de acceso del usuario, para controlar los recursos y las tareas a los que el usuario puede tener acceso. Antes de Windows Vista, una cuenta de administrador sólo recibía un token de acceso, que incluía los datos necesarios para otorgar al usuario acceso a todos los recursos de Windows. Este modelo de control de acceso no incluía comprobaciones de prueba de errores que garantizaran que el usuario deseara realmente realizar una tarea que requiriese su token de acceso administrativo. Por tanto, era posible que programas malintencionados se instalaran en los equipos de los usuarios sin que ello les fuera notificado. (Este fenómeno se suele denominar instalación "silenciosa".)

Este hecho podía resultar aún más dañino si el usuario era administrador, ya que estos programas malintencionados podían hacer uso de los datos de acceso del administrador para infectar los archivos principales del sistema operativo. Además, en ocasiones, quitar estos programas se volvía prácticamente imposible.

En Windows Vista, la diferencia principal entre un usuario estándar y un administrador es el nivel de acceso que el usuario tiene a las áreas protegidas principales del equipo. Los administradores pueden cambiar el estado del sistema, desactivar el firewall, configurar la directiva de seguridad, instalar un servicio o un controlador que afecte a todos los usuarios del equipo, e instalar software para todo el equipo. En cambio, los usuarios estándar no pueden realizar este tipo de tareas y sólo pueden instalar software por usuario.

Para ayudar a evitar la instalación silenciosa de programas malintencionados y la infección de todo el equipo, Microsoft desarrolló la característica UAC para Windows Vista. Al contrario de lo que ocurre en las versiones anteriores de Windows, cuando un administrador inicia sesión en un equipo con Windows Vista, el token de acceso de administrador del usuario se divide en dos: un token de acceso de administrador completo y un token de acceso de usuario estándar. Durante el inicio de sesión, se quitan los componentes de control de autorización y acceso que identifican a un administrador, lo que origina un token de acceso de usuario estándar. Éste se utiliza después para iniciar el escritorio (el proceso Explorer.exe). Debido a que las aplicaciones heredan sus datos de control de acceso de la ejecución inicial del escritorio, todas se ejecutan también como usuario estándar.

Una vez que el administrador inicia sesión, el token de acceso de administrador no se invoca hasta que el usuario intenta realizar una tarea administrativa.

Por el contrario, cuando un usuario estándar inicia sesión, sólo se crea un token de acceso de usuario estándar que, posteriormente, se utiliza para iniciar el escritorio.

Important

Debido a que la experiencia de usuario se puede configurar a través del complemento de administración de directiva de seguridad (secpol.msc) y la directiva de grupo, no hay una única experiencia de usuario de UAC. Las selecciones de configuración realizadas en el entorno afectarán a los mensajes y cuadros de diálogo que aparecerán ante los usuarios estándar, los administradores o ambos.

Destinatarios de esta guía

Esta guía está dirigida a los siguientes destinatarios:

• Programadores y analistas de TI que evalúan el producto

• Primeros implantadores

• Arquitectos de seguridad responsables de la implementación de soluciones de confianza

Razones para utilizar esta guía

Los grupos enumerados anteriormente deberían utilizar esta guía para probar la ejecución de sus aplicaciones empresariales (LOB) en Windows Vista. Dado que UAC distingue claramente entre procesos de administrador y usuario estándar, ciertas aplicaciones LOB podrían necesitar volver a ser diseñadas por el proveedor de software independiente (ISV) o por el equipo interno de herramientas, o bien ser marcadas para que siempre se ejecuten como elevadas.

Contenido de esta guía

• Requisitos para el Control de cuenta de usuario

• Escenarios clave para el Control de cuenta de usuario

• Escenario 1: Solicitud para que una aplicación se ejecute como elevada una vez

• Escenario 2: Marcado de una aplicación para que se ejecute siempre como elevada

• Escenario 3: Configuración del Control de cuenta de usuario

• Registro de errores y comentarios

• Recursos adicionales

Requisitos para el Control de cuenta de usuario

Se recomienda que siga primero los pasos indicados en esta guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están pensadas necesariamente para que se utilicen en la implementación de características de Windows Vista sin la documentación que la acompaña (mencionada en la sección Recursos adicionales), por lo que se deben utilizar con prudencia cuando se empleen como documentos independientes.

Configuración del laboratorio de pruebas

La configuración del laboratorio de pruebas para UAC incluye un controlador de dominio con Microsoft Windows Server® Code Name "Longhorn" (o Microsoft Windows Server™ 2003), un servidor miembro con Windows Server "Longhorn" (o Windows Server 2003) y un equipo cliente con Windows Vista. El controlador de dominio, el servidor de miembro y el equipo cliente deben estar en una red aislada e independiente y conectarse a través de un concentrador común o un conmutador de capa 2. Durante la configuración del laboratorio de pruebas se aconseja el uso de direcciones privadas.

Escenarios clave para el Control de cuenta de usuario

En esta guía se incluyen los siguientes escenarios para UAC:

• Escenario 1: Solicitud para que una aplicación se ejecute como elevada una vez

• Escenario 2: Marcado de una aplicación para que se ejecute siempre como elevada

• Escenario 3: Configuración del Control de cuenta de usuario

Nota

Los tres escenarios incluidos en esta guía pretenden ayudar a los administradores a familiarizarse con la característica UAC de Windows Vista. Asimismo, incluyen la información y los procedimientos básicos que los administradores necesitan para comenzar a utilizar UAC. Esta guía no ofrece información ni procedimientos destinados a configuraciones personalizadas o avanzadas de UAC.

Escenario 1: Solicitud para que una aplicación se ejecute como elevada una vez

En Windows Vista, UAC y su modo de aprobación de administración están habilitados de forma predeterminada. Cuando UAC está habilitado, las cuentas de los administradores locales se ejecutan como cuentas de usuario estándar. Esto conlleva que si un miembro del grupo local de administradores inicia sesión, las cuentas se ejecutarán con sus privilegios de administración deshabilitados. Esto será así hasta que se intente ejecutar una aplicación o tarea que disponga de un token administrativo. Cuando un miembro del grupo de administradores locales intenta iniciar una aplicación o tarea de este tipo, se le solicitará que confirme la ejecución de la aplicación como elevada. En el escenario 1 se detalla el procedimiento para ejecutar una aplicación o tarea como elevada una vez.

Nota

Para realizar el procedimiento siguiente, es necesario haber iniciado sesión en un equipo cliente como miembro del grupo local de administradores. No se puede iniciar sesión en el equipo con la cuenta de administrador (o integrada), ya que el modo de aprobación de administración no se aplica a esta cuenta. (La cuenta de administrador integrada está deshabilitada en las nuevas instalaciones de Windows Vista.)

Para solicitar que una aplicación se ejecute como elevada una vez

1. Inicie una aplicación que tenga probablemente asignado un token de administración, como el Liberador de espacio en disco de Microsoft Windows. Aparecerá un mensaje del Control de cuenta de usuario.

2. Compruebe que los detalles que aparecen coinciden con la solicitud iniciada.

3. En el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar para iniciar la aplicación.

Escenario 2: Marcado de una aplicación para que se ejecute siempre como elevada

El escenario 2 es similar al anterior en tanto que se desea ejecutar una aplicación o un proceso como elevado con el token de acceso de administrador. No obstante, en este escenario se desea ejecutar una aplicación marcada por el desarrollador o identificada por el sistema operativo como una aplicación administrativa. Es posible que determinadas aplicaciones, como las aplicaciones empresariales internas o los productos que no son de Microsoft, deban disponer de derechos administrativos aunque no se hayan identificado como tal. En este escenario, se marca una aplicación para que solicite el consentimiento del usuario, y si éste lo da, para que se ejecute como una aplicación administrativa. En el procedimiento siguiente se indican los pasos para realizar este proceso.

Nota

Para realizar el procedimiento siguiente, es necesario haber iniciado sesión en un equipo cliente como miembro del grupo local de administradores. No se puede iniciar sesión en el equipo con la cuenta de administrador (o integrada), ya que el modo de aprobación de administración no se aplica a esta cuenta.

Important

Este procedimiento no se puede emplear para evitar que UAC solicite el consentimiento del usuario para ejecutar una aplicación administrativa.

Para marcar una aplicación para que se ejecute siempre como elevada

1. Haga clic con el botón secundario del mouse (ratón) en una aplicación que probablemente tenga asignado un token administrativo,, como una aplicación de procesamiento de texto.

2. Haga clic en Propiedades y, a continuación, seleccione la ficha Compatibilidad.

3. En Nivel de privilegio, seleccione Ejecutar este programa como administrador y, a continuación, haga clic en Aceptar.

   Nota

   La no disponibilidad de la opción Ejecutar este programa como administrador indica que la aplicación presenta un bloqueo que evita que se ejecute siempre como elevada, que la aplicación no requiere credenciales administrativas para ejecutarse, que la aplicación forma parte de la versión actual de Windows Vista, o que no se ha iniciado sesión en el equipo como administrador.

Escenario 3: Configuración del Control de cuenta de usuario

En el escenario 3 se describen tres tareas habituales que los administradores locales realizan durante la configuración de equipos cliente con Windows Vista. Los procedimientos siguientes permiten deshabilitar el modo de aprobación de administración, deshabilitar la solicitud de credenciales por parte de UAC para instalar aplicaciones y cambiar el comportamiento de solicitud de elevación.

Deshabilitación del modo de aprobación de administración

Utilice el procedimiento siguiente para deshabilitar el modo de aprobación de administración.

Nota

Para realizar el siguiente procedimiento, es necesario haber iniciado sesión en un equipo cliente como administrador local.

Para deshabilitar el modo de aprobación de administración

1. Haga clic en Inicio, Todos los programas, Accesorios y Ejecutar, escriba secpol.msc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.

2. Si UAC está activo, aparecerá el cuadro de diálogo Control de cuentas de usuario. Si es así, compruebe que los detalles presentados coinciden con la solicitud iniciada y, a continuación, haga clic en Continuar.

3. En el árbol de la consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

4. Desplácese hacia abajo y haga doble clic en la opción Control de cuenta de usuario: ejecutar todos los administradores en Modo de aprobación de administrador.

5. En el cuadro de diálogo de propiedades Control de cuenta de usuario: ejecutar todos los administradores en Modo de aprobación de administrador, haga clic en Deshabilitado y, a continuación, en Aceptar.

6. Cierre la ventana Configuración de seguridad local.

Deshabilitación del Control de cuenta de usuario para que no solicite credenciales para instalar aplicaciones

Utilice el siguiente procedimiento a fin de deshabilitar UAC para que no solicite credenciales para instalar aplicaciones.

Nota

Para realizar el siguiente procedimiento, es necesario haber iniciado sesión en un equipo cliente como administrador local.

Para deshabilitar UAC de modo que no solicite credenciales para instalar aplicaciones

1. Haga clic en Inicio, Todos los programas, Accesorios y Ejecutar, escriba secpol.msc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.

2. En el árbol de la consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

3. Desplácese hacia abajo y haga doble clic en la opción Control de cuenta de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación.

4. En el cuadro de diálogo de propiedades Control de cuenta de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación, haga clic en Deshabilitado y, a continuación, en Aceptar.

5. Cierre la ventana Configuración de seguridad local.

Cambio del comportamiento de solicitud de elevación

Utilice el siguiente procedimiento para cambiar el comportamiento de solicitud de elevación de UAC.

Nota

Para realizar el siguiente procedimiento, es necesario haber iniciado sesión en un equipo cliente como administrador local.

Para cambiar el comportamiento de solicitud de elevación

1. Haga clic en Inicio, Accesorios y Ejecutar, escriba secpol.msc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.

2. En el árbol de la consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

3. Desplácese hacia abajo y haga doble clic en la opción Control de cuenta de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador, o en la opción Control de cuenta de usuario: comportamiento del indicador de elevación para los usuarios estándar.

4. En el menú desplegable, seleccione una de las configuraciones siguientes:

   • No preguntar

   • Pedir credenciales (esta configuración requiere la entrada del nombre de usuario y la contraseña para que una aplicación o tarea se ejecute como elevada; es la configuración predeterminada para los usuarios estándar)

   • Pedir consentimiento (se trata de la configuración predeterminada sólo para los administradores)

5. Haga clic en Aceptar.

6. Cierre la ventana Configuración de seguridad local.

Registro de errores y comentarios

Dado que UAC es una característica nueva de Windows Vista, estamos muy interesados en recibir sus comentarios sobre su experiencia con dicha característica, los problemas que se ha encontrado y el grado de utilidad que le atribuye a la documentación.

Al registrar errores, siga las instrucciones del sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779). Asimismo, nos interesa conocer peticiones y comentarios generales sobre UAC.

Puede enviar sus peticiones y comentarios generales relativos a UAC a uacdoc@microsoft.com.

Recursos adicionales

Los recursos siguientes ofrecen información adicional sobre UAC:

• Si necesita soporte técnico del producto, consulte el sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779).

• Para tener acceso a los grupos de noticias de UAC, siga las instrucciones incluidas en el sitio Web de Microsoft Connect en https://go.microsoft.com/fwlink/?LinkId=50067.

Información adicional para profesionales de TI disponible en TechNet:

• Introducción al Control de cuenta de usuario en Windows Vista (https://go.microsoft.com/fwlink/?LinkID=56402).

Información adicional para proveedores de software independientes (ISV) y desarrolladores disponible en MSDN:

• Developer Best Practices and Guidelines for Applications in a Least-Privileged Environment (https://go.microsoft.com/fwlink/?LinkID=56403) (en inglés).

Soporte técnico del programa de adopción de tecnología

Si es responsable de pruebas beta y forma parte del programa especial beta de adopción de tecnología (TAP), puede también ponerse en contacto con el miembro del equipo de desarrollo de Microsoft que tenga asignado para obtener asistencia.