Introducción a la protección de cuentas de usuario en Windows Vista Beta 1
La protección de cuentas de usuario (UAP), también conocidas como cuentas de usuario limitadas o LUA, es una nueva característica de seguridad de Microsoft Windows Vista® con la que los usuarios podrán llevar a cabo tareas comunes sin privilegios de administrador. Las cuentas de usuario que pertenecen al grupo de administradores ejecutarán la mayoría de las aplicaciones con privilegios mínimos, como si utilizaran una cuenta de usuario estándar.
El uso de privilegios mínimos ayuda a proteger el sistema, ya que todas las aplicaciones que los administradores ejecutan dejan de tener privilegios completos de administrador. Los programas que necesiten privilegios de administrador (como las herramientas para administrar el sistema) se iniciarán con privilegios completos una vez que el usuario da su consentimiento, mientras que las aplicaciones que precisen de estos privilegios para ejecutarse correctamente podrán ejecutar privilegios elevados con privilegios completos de administrador. La capacidad de ejecutar privilegios elevados con privilegios completos admite la compatibilidad de aplicaciones para aplicaciones que, de otro modo, no se ejecutan como un usuario estándar.
Tenga en cuenta que la funcionalidad UAP no se aplica a la cuenta de administrador integrada (local), debido a que ejecuta todas las aplicaciones y herramientas administrativas con privilegios completos sin el consentimiento del usuario.
La función de protección de cuentas de usuario no se habilita de forma predeterminada en Windows Vista Beta 1. Sin embargo, le animamos a que la pruebe activando la configuración UAP mediante el siguiente método.
En esta página
Habilitación de UAP
Para habilitar la funcionalidad UAP
1. | Inicie sesión en la cuenta de administrador integrada, cree una nueva cuenta de usuario local propia (o utilice una cuenta de usuario del dominio existente) y agréguela al grupo de administradores del equipo local. |
2. | En el escritorio, haga clic en el botón Inicio, Todos los programas y, a continuación seleccione Turn UAP Settings "On" or "Off" (figura 1). Un cuadro de diálogo proporcionará una opción para habilitar o deshabilitar (en caso de estar ya habilitada) la configuración de protección de cuentas de usuario. |
3. | Finalice la sesión e inicie una nueva para que la configuración de UAP tenga efecto. |
4. | Inicie sesión con la nueva cuenta de usuario perteneciente al grupo de administradores que creó en el paso 1. |
La nueva cuenta sacará partido de la funcionalidad UAP.
Figura 1
Consentimiento antes de llevar a cabo una operación de administrador
Con la protección UAP habilitada, Windows Vista solicita el consentimiento de elevación antes de iniciar un programa o tarea que requiera privilegios de administrador. Este consentimiento requiere un nombre de usuario y una contraseña de un usuario que sea miembro de un grupo de administradores, que puede ser la cuenta que utilizó para iniciar sesión, si bien este comportamiento puede modificarse para que sólo sea necesario un cuadro de diálogo de consentimiento que no precise ninguna contraseña. Para obtener información sobre cómo cambiar este comportamiento, consulte Modificación entre solicitud de credenciales y solicitud de consentimiento que aparece a continuación.
El siguiente ejemplo muestra cómo se produce el consentimiento antes de llevar a cabo una operación de administración.
Para abrir la consola de administración del equipo (figura 2)
1. | Haga clic en el botón Inicio, haga clic con el botón secundario en Mi PC y, a continuación, seleccione Administrar del menú. Aparecerá el cuadro de diálogo Seguridad de Windows, que solicitará las credenciales de administrador. |
2. | Cuando esto ocurra, escriba la contraseña de la cuenta que pertenezca al grupo de administradores. En este ejemplo, Abby es miembro del grupo de administradores (figura 3).  Figura 2  Figura 3 |
3. | Una vez especificada la contraseña para el usuario, presione Entrar. |
Nota: en la solicitud de elevación es común cometer el error de escribir el nombre y la contraseña de una cuenta de administrador local cuando en realidad estas no son las credenciales solicitadas, sino la cuenta y la contraseña de usuario de un miembro del grupo de administradores local (que suele coincidir con el usuario que actualmente ha iniciado sesión). En el caso de que el usuario que ha iniciado sesión no sea miembro de este grupo, deberá haber un usuario que escriba las credenciales antes de que se lleve a cabo la acción administrativa.
Icono de candado
Muchos subprogramas de los paneles de control requieren privilegios de administrador para llevar a cabo una tarea administrativa. Algunos paneles de control contienen una mezcla de operaciones administrativas y no administrativas, por ejemplo, las propiedades de fecha y hora. En este caso, los usuarios sin privilegios de administrador podrán ver el reloj y modificar la zona horaria, pero deberán poseer privilegios de administrador para modificar la hora del sistema local. Si es necesario modificar una configuración que requiere privilegios completos de administrador, el usuario seleccionará el botón de Desbloquear. Este botón indica al sistema que habilite los privilegios completos de administrador, lo cual requiere un cuadro de diálogo de consentimiento de seguridad de Windows (figura 4).
Figura 4
Instalación y ejecución de un programa con la protección UAP habilitada
Dado que la instalación de algunas aplicaciones en el sistema requiere privilegios de administrador, existe un mecanismo en el sistema operativo de Windows Vista que detecta automáticamente el inicio de un programa de instalación de configuración y que, además, solicita al usuario las credenciales para aprobar el proceso de instalación administrativa (figura 5). Una vez completada la instalación, las siguientes invocaciones de la aplicación instalada se ejecutarán como un usuario limitado, ya que la mayoría de las aplicaciones no requieren privilegios administrativos para ejecutarse.
Figura 5
Tras la instalación, podrá iniciar el programa sin que se produzca ninguna solicitud.
Modificación entre solicitud de credenciales y solicitud de elevación
El método por el cual los usuarios controlan cómo se produce la elevación en LUA se consigue a través de la nueva configuración de directivas de seguridad incluida en Windows Vista. Esta configuración se encuentra en
Configuración de seguridad local >Directivas locales >Opciones de seguridad
Para iniciar Security Policy Manager, haga clic en el botón Inicio, haga clic en Ejecutar , escriba el nombre del programa secpol.msc en el cuadro de diálogo Ejecutar y, a continuación, haga clic en Aceptar.
| Nombre de la directiva | Descripción | ||||||
LUA: Behavior of the elevation prompt | Determina cómo se notifica a un usuario antes de ejecutar un programa con permisos superiores
Esta directiva sólo tiene efecto cuando LUA está habilitada. Nota: en la mayoría de las situaciones, la selección de No PromptNO es recomendable, ya que permitiría a las aplicaciones de LUA iniciar aplicaciones de administrador sin su conocimiento ni consentimiento. |
Nota: el asterisco (*) indica la configuración predeterminada.
La figura 6 muestra un ejemplo del cuadro de diálogo No Prompt.
Figura 6
Ejecución elevada de programas
Windows Vista incorpora una funcionalidad que permite solicitar manualmente y de forma preventiva que se inicie una aplicación. Para iniciar un programa con privilegios completos de administrador de forma excepcional, haga clic con el botón secundario en el icono de programa y seleccione Run Elevated del menú (figura 7). Una vez que el usuario autoriza la elevación, el programa se iniciará y ejecutará con los privilegios completos del usuario.
Figura 7
Indicación de que un programa siempre se ejecuta con privilegios completos de administrador
Pueden darse casos donde ciertas aplicaciones no funcionan correctamente a menos que las ejecute un usuario con privilegios completos de administrador. Esto puede suceder con programas más antiguos que no están diseñados para funcionar en el entorno UAP. Microsoft proporciona un mecanismo para garantizar que estas aplicaciones puedan habilitarse para invocarlas siempre con privilegios completos. Puede activar una casilla de verificación en la ficha Compatibilidad de las propiedades de programa para que el programa se eleve al iniciarse. Para ello, haga clic con el botón secundario en el archivo ejecutable deseado, seleccione Propiedades (figura 8) y, a continuación, haga clic en la ficha Compatibilidad. En la ficha, hay una casilla de verificación en la sección de nivel de ejecución que indica que el programa debe ejecutarse como un miembro del grupo de administradores con privilegios completos (figura 9). Active la casilla de verificación y, a continuación, haga clic en Aplicar o en Aceptar. Esto señalará a la aplicación para que se ejecute de forma elevada la próxima vez que se inicie.
Si es la primera vez que esta aplicación se señala, aparecerá un mensaje que informa de que el sistema operativo (SO) indicará a la aplicación que recopile información sobre las operaciones que el programa realiza que deban ejecutarse obligatoriamente con privilegios completos de administrador. Esta información ayudará a que Microsoft determine si se pueden seguir algunos pasos para corregir el programa en el futuro de forma que ya no requiera privilegios completos de administrador.
Cuando se le pida que compruebe si existen “soluciones a problemas”, busque las soluciones en cualquiera de los productos que tengan un problema de diagnóstico de cuentas de usuario limitadas. Esto garantizará que la información recopilada se envía a Microsoft. Si no desea enviar esta información, no busque “soluciones a problemas”.
Figura 8
Figura 9
Si es la primera vez que se ha señalado la aplicación, aparecerá un cuadro de diálogo (figura 10). Haga clic en Aceptar para continuar.
Figura 10
Una vez finalizado, el programa solicitará el consentimiento de elevación cuando se inicie.
Problemas conocidos y soluciones
En la siguiente tabla se muestran los problemas conocidos comunes que suceden cuando la protección UAP está habilitada para los usuarios con privilegios de administrador en el sistema.
| Problema | Solución |
No se pueden instalar los controles ActiveX en Internet Explorer | Inicie Internet Explorer elevado haciendo clic en el botón Inicio y seleccionando Todos los programas. Haga clic con el botón secundario en Internet Explorer y seleccione Run Elevated. A continuación, lleve a cabo la instalación de ActiveX. Salga de esta instancia de Internet Explorer e inicie una nueva instancia sin privilegios de administrador para continuar. |
Los usuarios sin privilegios de administrador no pueden crear archivos en la unidad raíz del sistema, por ejemplo, c:\ | Cree archivos y carpetas en el perfil de usuario (en \users\(usuario) o \users\public). Haga clic con el botón secundario en Símbolo del sistema y seleccione Run Elevated. Cree el directorio desde la ventana de comandos elevada. |
No se pueden instalar las impresoras | En el caso de Beta 1, instale siempre las impresoras directamente desde el Panel de control. |
No se pueden configurar las conexiones de red | En el caso de Beta 1, instale siempre las redes directamente desde el Panel de control. |
No se pueden eliminar archivos desde el menú de inicio público | Haga clic con el botón secundario en Símbolo del sistema y seleccione Run Elevated. Desplácese hasta la carpeta \Uses\Public\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio y realice las modificaciones pertinentes. |
Las aplicaciones que se inician con privilegios completos de administrador no aparecen en la barra de tareas | Inicie la bandeja del sistema (systray.exe) desde un símbolo de sistema elevado. Utilice la combinación de teclas Alt y tabulador para alternar entre los programas activos y seleccione uno de los programas elevados. |
Es posible que la detección de la instalación no encuentre todas las instalaciones | Ejecute setup.exe elevado. Consulte la sección Indicación de que un programa siempre se ejecuta con privilegios completos de administrador. |
No hay ninguna solicitud de elevación de las ventanas de comandos | Inicie el programa haciendo clic en el botón Inicio y, a continuación, seleccionando Ejecutar. |
El Administrador de tareas no puede ver procesos para todos los usuarios | Esto sucede si el Administrador de tareas se inicia haciendo clic con el botón secundario en la barra de tareas. Para corregirlo, inicie el Administrador de tareas desde la pantalla de Winlogon (Ctrl+Alt+Supr) o utilice las teclas de método abreviado Ctrl+Mayús+Esc. |