Windows LiveWindows Live
 
 
Jose's profileEl Blog de JelperuPhotosBlogLists Tools Help

Blog
    June 21

    User Account Control en Windows Vista (UAC)

     
    User Account Control en Windows Vista [UAC]

     
    Vamos a conocer desde los fundamentos basicos de como se origina UAC y cual es su finalidad, para pasar a la elaboracion de una Guia Practica de como implementar UAC en nuestra red y ver la mejor manera de administrarla.
     
    Que es UAC? - User Account Control
     
    Antecedentes:
    Pongamos el siguiente caso: Estamos trabajando sobre una PC con Windows XP o inferior, por lo general XP se instala con credenciales administrativas y se inicia la vez primera de igual forma. En muchos de los casos, el usuario no es consciente que esta trabajando con credenciales administrativas y usa la PC para  navegar por Internet, instalar y desinstalar software o hardware.
     
    Este usuario que realiza sus tareas cotidianas con nivel de administrador local, no se da cuenta que al ingresar a Internet, esta exponiendo sus servicios con acceso total a su sistema, vale decir, Cualquier intruso puede conectarse a los servicios de esa PC y tomar control remoto de la misma, y ni hablar de los troyanos, malware y toda la clasificacion de codigo maligno indeseable.
     
    El resultado: La PC se comporta de manera anormal, algunos procesos funcionan solos, otros ni siquiera responden; de pronto la red se pone lenta, las aplicaciones se congelan, existen errores inesperados, las cosas comienzan a fallar de una manera inexplicable y esto ya se ha propagado por toda la red, no solo se trata de una PC, sino de todas las PCs conectadas a la red.
     
    Ahora traslademos este problema a un escenario laboral, donde hay bases de datos, servicios de mensajeria de correo electronico, aplicaciones que son modificadas. Que pasaria si eso se da en una empresa que tiene mil clientes y hacemos reportes de ventas, compras y cuentas por cobrar?
     
    En resumen, el inicio de todos nuestros problemas es la CAPA 8: EL USUARIO FINAL, quien, con conocimiento o sin el, ha causado un perjuicio en nuestra red, a la que tenemos que atender de urgencia, sin importar si es fin de semana, madrugada o feriado, debemos brindar solucion a ese problema ya mismo.
     
    Que hacer? cual seria la solucion?
    Una de las soluciones es indicarle al usuario final que no debe usar su Sistema Operativo con credenciales administrativas, sin embargo, este no nos hara caso, ya que para eso existe el area de soporte, ellos se encargan de resolver los problemas cada vez que ocurren, y... si en un eventual caso se pierden los datos... siempre hay a quien hacer responsable: el Area de Soporte. Este problema de Capa 8 es el que nos hace perder horas enteras que bien podriamos usar en quehaceres mas productivos.
     
    Windows Vista tiene una solucion: se llama User Account Control (UAC).
    Cuando instalamos VIsta en nuestra PC, se activa una cuenta con nivel de usuario estandar, ya no como Administrador, y cuando instalamos, desinstalamos o realizamos cualquier operacion que requiera privilegios administrativos, nos mostrara una ventana de advertencia:
     

    Si hemos iniciado la sesion con un usuario de privilegios administrativos, Windows Vista igual nos solicitara una confirmacion para seguir con el proceso, a esto se le llama establecer tokens, y sirve para proteger al sistema de posibles cambios. Si por el contrario, hemos iniciado la sesion con una cuenta de usuarioi estandar, nos solicitara que ingresemos las credenciales de un usuario con novel de administrador.

    Pero esto es lo mas basico que realiza Windows Vista, User Account Control tiene muchas herramientas mas...

    UAC posee cuatro niveles de advertencia, en cada ventana de advertencia, vemos un icono con el escudo de proteccion en diferentes colores, cada uno de ellos tiene algo que decir y debemos saber interpretar: 

     

     

     

     

     

    Windows necesita su permiso para continuar

    Quiere decir que el programa que pertenece a Windows Vista que intentamos abrir o instalar puede afectar a los otros usuarios de ese equipo y por lo tanto necesita de nuestro permiso para dar inicio, debemos leer la informacion que acompania a esta ventana antes de tomar una decision

     

     

     

     

     

     

    Un Programa necesita su permiso para continuar

    Quiere decir que un programa o aplicacion que no pertenece a Windows Vista necesitra de nuestro permiso para iniciarse. Comprueba siempre que tenga el nombre de su fabricante y cual es su procedencia, esta informacion la puedes ver en la ventana de informacion, solo debes leerla antes de tomar la decision de ejecutarla. Si no lees un nombre de proveedor o fabricante recomiendo no abrirla o ejecutarla.

     

     

     

     

     

     Un Programa no identificado desea tener acceso a este equipo

    Quiere decir que estas frente a un programa no identificado y tampoco tiene firma digital (en el que se pueda confiar). Puede existir un peligro al ejecutar esto, solo ejecuta esto si sabes de donde proviene la fuente y si esta es confiable, como un driver de CD, software de algun fabricante, etc.

     

     

     

    Este programa se bloqueo

    Quiere decir que se trata de un programa o aplicacion que el administrador del equipo ha bloqueado para impedir que se ejecute en el equipo. En este caso debes ponerte en contacto con el administrador, y si tu eres el administrador, revisa en las politicas de grupo con GPEDIT.MSC.

    Como recomendacion, siemrpe crea usuarios con cuenta de nivel estandar para trabajar las cosas diarias, solo usa la cuenta con privilegios de administrador si vas a instalar o desinstalar software o hardware.

    La cuenta de usuario estandar te ayudara a proteger tu equipo, ya que desde esta cuenta no se peuden realizar cambios potencialmente peligrosos en el PC

     Ya sabemos que Windows Vista, posee dos niveles de usuarios: estandar y administrador.

     
    Usuarios Estandar
    Ejecutan aplicaciones con una cuenta de usuario y son miembros del grupo Usuarios.
     
    Usuarios Administradores
    Son miembros del grupo Administradores local.
     
    Cuando un usuario ejecuta una aplicación, se aplican al mismo tiempo de ejecución su testigo de acceso y sus privilegios administrativos asociados (tokens). Es decir, si un miembro del grupo Administradores ejecuta ejecuta una aplicacion, esta se llevara a cabo con todos los derechos y privilegios asignados a un administrador local.
     
    Si un Usuario ejecuta la misma aplicacion, esta se ejecuta con los derechos y privilegios asignados a un usuario estandar.
     
    Antes que se ejecute una aplicación identificada como administrativa, Windows Vista pide al usuario su consentimiento para ejecutarla como elevada. Esta caracteristica se conoce como Modo de aprobacion administrativo (Admin Approval Mode). El aviso sobre el consentimiento se visualiza de forma predeterminada, aunque el usuario sea un miembro del grupo Administradores local, porque los administradores trabajan como usuarios estandar hasta que una aplicacion o un componente del sistema que necesita las credenciales administrativas pide permiso para su ejecucion, este proceso es conocido como ELEVACION DE PRIVILEGIOS.

    Como trabaja UAC?
     
    Trabaja en modo invisible tanto para usuarios estandar como para administradores mientras estos estan realizando trabajos no administrativos (usando Word, cambiando las opciones de administracion de energia o agregando una impresora). No obstante, si deseamos cambiar la hora del sistema y estamos trabajando con un usuario estandar, Windows Vista nos solicitara que ingresemos el nombre de una cuenta con privilegios administrativos y su respectiva contrasenia.
     
    Que es una Firma Digital?
     
    Para una ejecutable (driver, aplicacion o macro) este debe ser confiable para ser ejecutado sobre Windows Vista, entonces deben poseer un certificado otorgado por Microsoft (en sus productos nativos) o un certificado externo que otorga Thwaite o VeriSign a productos de terceros.
     
    Los ejecutables que no tienen firma digital, probablemente sean malware o algun codigo no deseable que puede afectar la estabilidad del sistema.
     
    Muchos drivers, sobre todo los antiguos tienen problemas con las firmas digitales, en Windows Vista estos drivers deben ser instalados en forma manual o usando Windows Update que es una herramienta muy completa de Widnows Vista.
     
    Elevando Privilegios
     
    UAC por defecto, ofrece al usuario la posibilidad de elevar los privilegios y es mas o menos asi:
     
    • Si eres administrador: Solo se te solicita una ventana de confirmacion, la cual debes aceptar despues de haber leido el contenido de la ventana de advertencia sobre las firmas digitales o la procedencia de la aplicacion que intentas ejecutar.
    • Si eres usuario estandar: Windows Vista te solicita las credenciales administrativas, solo un Administrador puede darte el permiso para continuar, una vez que la aplicacion fue ejecutada con UAC, la cuenta de usuario se recierte y vuelve a ser Usuario Estandar.
    • Si tienes cuenta de Invitado (normalmente esta deshabilitado) no podras solicitar elevar privilegios de administrador.
    IMPORTANTE:
     
    Tu cuenta que posee privilegios de Administrador, de preferencia debe tener contrasenia compleja, el tener una cuenta administrativa sin contrasenia, es tan segura como no tener UAC, es decir, no es para nada recomendable, ya que cualquier usuarios estandar puede elevar privilegios en el momento que lo desee

    2:37 PM | Blog it | Windows Vista

    Comments

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up

    Trackbacks

    The trackback URL for this entry is:
    http://jelperu.spaces.live.com/blog/cns!ECE299A619F24CBE!970.trak
    Weblogs that reference this entry
    • None