Aplicación del principio de privilegio mínimo para cuentas de usuarios en Windows XP
Dirija sus preguntas y comentarios acerca de esta guía a secwish@microsoft.com.
Para ver comentarios o análisis de esta guía, consulte http://blogs.technet.com/secguide.
En esta página
Introducción
Los recientes avances en tecnología de red, como por ejemplo, la conectividad permanente a Internet, han generado grandes oportunidades para las organizaciones de todos los tamaños. Lamentablemente, una conexión entre un equipo y cualquier red, especialmente Internet, aumenta el nivel de riesgo provocado por software malintencionado y atacantes externos, y, a pesar de que los riesgos antiguos se mantienen bajo control, siempre se descubren o se crean riesgos nuevos.
Sophos, una empresa de seguridad de Internet, descubrió que la cantidad de programas malintencionados detectados aumentó de 45.879 en noviembre de 1999 a 114.082 en noviembre del año 2005, un aumento de al menos un 10 por ciento anual durante los últimos seis años. En noviembre de 2005, Sophos descubrió más de 1.900 nuevos ejemplos de software malintencionado, como por ejemplo virus, caballos de troya y programas de spyware. Otros proveedores de antivirus han informado acerca de aumentos similares en la cantidad de tipos de software malintencionado.
Un factor importante que aumenta el riesgo de software malintencionado es la tendencia a dar a los usuarios derechos administrativos en sus equipos cliente. Cuando un usuario o administrador inicia sesión con derechos administrativos, todos los programas que ejecuta, como exploradores, clientes de correo electrónico y programas de mensajería instantánea, también tienen derechos administrativos. Si estos programas activan software malintencionado, éste puede instalarse automáticamente, manipular servicios, como programas antivirus, e incluso ocultarse del sistema operativo. Los usuarios pueden ejecutar software malintencionado sin darse cuenta y en forma no intencionada, por ejemplo, al visitar un sitio Web comprometido o al hacer clic en un vínculo de un mensaje de correo electrónico.
El software malintencionado plantea numerosas amenazas a las organizaciones, por ejemplo, interceptar las credenciales de inicio de sesión de un usuario con un programa que registra las pulsaciones de teclas para lograr un completo control sobre un equipo o una red mediante el uso de un rootkit. Además, puede hacer que los sitios Web se tornen inaccesibles, destruir o corromper datos y volver a formatear discos duros. Los efectos pueden incluir costos adicionales como desinfectar equipos, restaurar archivos, volver a ingresar o crear datos perdidos. Los ataques de virus también pueden hacer que los equipos de proyectos no cumplan sus plazos de entrega, lo que puede llevar al incumplimiento del contrato o la pérdida de confianza del cliente. Las organizaciones que están sujetas a cumplimiento de disposiciones legales pueden ser sometidas a proceso y multadas.
Nota Para obtener más información acerca de los rootkit, consulte la definición de rootkit en Wikipedia en http://en.wikipedia.org/wiki/Rootkit.
El enfoque de cuenta de usuario con privilegios mínimos
Una estrategia de defensa en profundidad, con capas de seguridad superpuestas, es la mejor manera de contrarrestar estas amenazas y el enfoque de cuenta de usuario con privilegios mínimos (LUA) es una parte importante de dicha estrategia defensiva. El enfoque LUA garantiza que los usuarios sigan el principio del privilegio mínimo y que siempre inicien sesión con cuentas de usuario limitadas. Esta estrategia también apunta a limitar el uso de credenciales administrativas a los administradores y sólo para tareas administrativas.
El enfoque LUA puede mitigar considerablemente los riesgos que implican el software malintencionado y la configuración incorrecta accidental. Sin embargo, debido a que el enfoque LUA requiere que las organizaciones planeen, prueben y admitan configuraciones de acceso limitado, este enfoque puede generar importantes costos y desafíos. Estos costos pueden incluir volver a desarrollar programas personalizados, realizar cambios en los procedimientos operacionales e implementar herramientas adicionales.
Importante es difícil encontrar utilidades y pautas sobre el uso de cuentas de usuario limitadas, por lo tanto, este documento se refiere a herramientas y directrices de terceros obtenidas a partir de archivos de registros de Web y otras fuentes no oficiales. Microsoft no garantiza la idoneidad de las herramientas o directrices para su entorno. Debe probar cualquiera de estas instrucciones o programas antes de implementarlos. Como sucede con todos los problemas de seguridad, no existe la respuesta perfecta y este software y estas directrices no son la excepción.
Destinatarios
Este artículo está dirigido a dos tipos de destinatarios:
| • | Los responsables de la toma de decisiones comerciales, que necesitan comprender los conceptos del enfoque LUA y los problemas organizacionales que éste genera. |
| • | Los profesionales de TI, que necesitan comprender las opciones para implementar el enfoque LUA dentro de su organización. |
Temas
Este documento analiza los problemas e inquietudes que las organizaciones pueden enfrentar cuando aplican el enfoque LUA a los equipos que ejecutan Microsoft® Windows® XP. El análisis abarca los siguientes temas:
| • | Riesgos asociados con los privilegios administrativos |
| • | Definición del principio de privilegio mínimo |
| • | Definición del enfoque LUA |
| • | Beneficios del enfoque LUA |
| • | Equilibrio entre riesgo, seguridad, uso y costos |
| • | Implementación del enfoque LUA |
| • | Desarrollos futuros |
Este artículo también describe los problemas de alto nivel que afectan a la implementación del enfoque LUA y proporciona vínculos útiles a otros recursos en línea, que explican estos conceptos de forma más detallada.
Nota Este artículo no trata los problemas relacionados con servicios de sistemas instalados con cuentas de privilegios mínimos. Para obtener más información sobre este tema, consulte la Guía de planeamiento de la seguridad de servicios y cuentas de servicios, en www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx
Riesgos asociados con los privilegios administrativos
Normalmente, muchas organizaciones dan a los usuarios privilegios administrativos para sus equipos. Esta medida es particularmente común en el caso de los equipos portátiles, y generalmente se lleva a cabo por las siguientes razones:
| • | Para permitir que algunos programas se ejecuten correctamente. Algunos programas sólo pueden ejecutarse cuando un usuario tiene derechos administrativos. Generalmente, esto puede suceder si el programa almacena datos de usuario en el Registro o en ubicaciones del sistema de archivos a las cuales una cuenta no administrativa no puede tener acceso. |
| • | Para permitir que el usuario lleve a cabo acciones administrativas, como cambiar la zona horaria del equipo. |
| • | Para permitir que los usuarios móviles instalen hardware o software relacionado con el trabajo, como dispositivos de impresión o grabadores de DVD y programas asociados. |
A pesar de que pueden existir otras razones válidas para proporcionar a los usuarios derechos administrativos, dicha medida aumenta considerablemente el riesgo de compromiso de equipos y de configuración incorrecta. Estos riesgos pueden afectar a muchas áreas de las operaciones de una organización.
Imagine una situación en la cual un ejecutivo senior visita regularmente las oficinas de los clientes para ofrecer presentaciones desde su equipo portátil. Debido a que es un ejecutivo senior, insiste en tener derechos administrativos locales en su equipo. Está a punto de ofrecer una presentación de ventas clave a un importante cliente, cuando un mensaje ofensivo aparece en la pantalla de su equipo portátil, el cual luego se bloquea. Cuando trata apresuradamente de reiniciar el equipo, el ejecutivo descubre que se cambió el formato del disco duro. Por consiguiente, la presentación de ventas no convenció al cliente y el pedido se lo lleva alguien de la competencia.
En este caso, el mensaje ofensivo y la posterior destrucción de los datos son resultado de software malintencionado que infectó el equipo cuando el ejecutivo exploró un sitio Web comprometido. Cuando visitó este sitio Web, el ejecutivo estaba registrado en su equipo portátil como miembro del grupo local de administradores. Los derechos y privilegios de esta suscripción al grupo permitieron que el software malintencionado desactivara el software antivirus, se instalara, manipulara el Registro y colocara archivos en el directorio de sistema de Windows. El equipo del ejecutivo quedó comprometido y listo para llevar a cabo los comandos del software malintencionado.
Otras situaciones en que se pueden aprovechar los mayores privilegios de las cuentas administrativas incluyen situaciones en las cuales los usuarios hacen clic en vínculos de mensajes de correos electrónicos o al reproducir CD de música que incluyen software de administración de derechos digitales. El factor común es el siguiente: es considerablemente más probable que los usuarios que tienen derechos administrativos comprometan sus equipos que aquellos que tienen cuentas de usuario limitadas.
Definición del principio de privilegio mínimo
El documento Criterios de Evaluación de Sistemas Informáticos de Confianza del Departamento de Defensa (Department of Defense Trusted Computer System Evaluation Criteria), (DOD-5200.28-STD), también conocido como el Libro Naranja, es un estándar aceptado para la seguridad de los equipos. Esta publicación define el privilegio mínimo como un principio que “requiere que a cada sujeto de un sistema se le otorgue el conjunto de privilegios más restrictivo (o la autorización más baja) necesario para el desempeño de sus tareas autorizadas. La aplicación de este principio limita el daño que puede generar un accidente, error o uso no autorizado”.
Definición del enfoque LUA
Este artículo define el enfoque LUA como la implementación práctica del principio de privilegio mínimo en equipos que ejecutan Windows XP. Específicamente, los usuarios, programas y servicios en Windows XP deben tener sólo los derechos y permisos mínimos que requieran para realizar sus tareas asignadas.
Nota Es importante comprender la diferencia entre derechos y permisos. Los derechos definen las tareas que un usuario puede realizar en un equipo, mientras que los permisos definen lo que un usuario puede hacer a un objeto que se encuentra en un equipo. Por lo tanto, un usuario necesita un derecho para apagar el equipo, pero requiere un permiso para tener acceso a un archivo.
El enfoque LUA es una combinación de recomendaciones, herramientas y mejores prácticas, que permite a las organizaciones utilizar cuentas no administrativas para operar equipos que utilizan Windows XP. El enfoque LUA requiere que las organizaciones vuelvan a evaluar el papel de los equipos y el nivel de acceso que los usuarios deberían tener con respecto a sus equipos. También aborda las consideraciones estratégicas y cotidianas de la operación con cuentas de usuario limitadas y los problemas que surgen. Estos problemas incluyen áreas como la necesidad de los usuarios remotos de ejecutar cambios en la configuración de sus equipos.
El enfoque LUA también debe aplicarse al desarrollo y a la prueba de aplicaciones. Los desarrolladores (y a veces el personal de pruebas) generalmente inicia sesión en sus equipos con cuentas que tienen derechos administrativos. Esta configuración puede hacer que los desarrolladores lancen programas compilados que requieren privilegios elevados similares para ejecutarse. En lugar de volver a diseñar la aplicación para que funcione correctamente, los desarrolladores recomiendan "soluciones de seguridad", como colocar las cuentas de usuario en el grupo local de administradores u otorgar a los usuarios control completo sobre las carpetas de sistema de Windows.
El enfoque LUA contrarresta esta tendencia, sencillamente para otorgar derechos y permisos administrativos a cada usuario o programa que requiera acceso a un recurso. Los programas que siguen el principio de privilegio mínimo no intentan denegar solicitudes de recursos legítimas, pero sólo otorgan dicho acceso de acuerdo con las directrices de seguridad apropiadas.
Para obtener más información sobre las mejores prácticas para crear aplicaciones, consulteRunning with Special Privileges (en inglés), en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secbp/security/running_with_special_privileges.asp.
Cuentas de Windows XP
Para comprender los principios fundamentales del enfoque LUA, debe tener en cuenta las diferencias entre las cuentas administrativas y no administrativas en Windows XP y saber cómo Windows inicia y ejecuta programas. También es necesario dar un breve vistazo a los grupos en redes de grupos de trabajo y basadas en dominios.
Los equipos que ejecutan Windows XP mantienen una base de datos de seguridad autónoma en el Administrador de cuentas de seguridad (SAM) local. El SAM es responsable de almacenar información de grupos y usuarios locales e incluye numerosos grupos predeterminados, como:
| • | Administradores. Tienen acceso completo y sin restricciones al equipo. |
| • | Usuarios avanzados. Tienen derechos administrativos más limitados, por ejemplo, para compartir archivos, instalar impresoras locales y cambiar la hora del sistema. Los usuarios avanzados también tienen amplios permisos para tener acceso a archivos en las carpetas de sistema de Windows. |
| • | Usuarios. Tienen derechos de usuario limitados y se les impide realizar cambios intencionales o accidentales que puedan afectar a todo el sistema. Las cuentas de usuario que son miembros sólo de este grupo se denominan cuentas de usuario limitadas. |
| • | Invitados. Tienen menos derechos que los usuarios limitados. |
Los derechos se otorgan a las cuentas de usuario a través de la pertenencia a uno o más de estos grupos. Por ejemplo, la cuenta de Administrador integrada tiene derechos administrativos porque es miembro del grupo Administradores. Pertenecer a este grupo otorga a la cuenta de Administrador derechos elevados, como el derecho a apagar un sistema desde un equipo remoto.
El equipo basado en grupos de trabajo es completamente autónomo y sólo valida grupos y usuarios en su propio SAM. Cuando un equipo de grupo de trabajo se une a un dominio, la pertenencia a un grupo local cambia. Además de los grupos existentes, el grupo Usuarios de dominio se convierte en un miembro del grupo de usuarios local y el grupo Administradores de dominio se convierte en miembro de Administradores. Este cambio permite a cualquier miembro del grupo Administradores de dominio iniciar sesión en el equipo con derechos administrativos y a cualquier miembro del grupo Usuarios de dominio iniciar sesión en el equipo con derechos de usuario limitados.
Cuentas administrativas
Una cuenta administrativa es cualquier cuenta que es miembro de uno o más de los grupos administrativos. En un equipo unido por un dominio, los grupos administrativos incluyen los siguientes:
| • | El grupo local Administradores. |
| • | El grupo local Usuarios avanzados |
| • | El grupo Administradores de dominio |
| • | El grupo Operadores de configuración de red |
| • | Cualquier grupo de dominio que pertenezca a cualquiera de los grupos administrativos locales |
Cualquier persona que inicie sesión y que pertenezca a uno o más de estos grupos que pueda realizar cambios en todo el sistema.
Nota El grupo Usuarios avanzados es un subconjunto de Administradores en lugar de un superconjunto del grupo Usuarios. Colocar a los usuarios en el grupo Usuarios avanzados no cumple con los principios de LUA.
Usuarios limitados
Un usuario limitado es una cuenta que pertenece al grupo local Usuarios y que no pertenece a ninguno de los grupos administrativos. En un equipo unido por un dominio, cualquier cuenta que pertenezca al grupo Usuarios de dominio también pertenece al grupo local Usuarios.
Las cuentas de usuario limitadas reducen considerablemente la superficie de ataque para software malintencionados, puesto que estas cuentas tienen la capacidad mínima de realizar cambios en todo el sistema que afecten a la seguridad operacional. En particular, las cuentas de usuarios limitadas no pueden abrir puertos en el firewall, detener o iniciar servicios o modificar archivos en las carpetas de sistema de Windows.
Muchas organizaciones podrían afirmar que ya han implementado el enfoque LUA, porque sus usuarios inician sesión como miembros del grupo Usuarios de dominio. Sin embargo, si aquellos usuarios también son miembros del grupo local de administradores, todos los programas que ejecuten tendrán derechos administrativos y podrían causar cambios no deseados.
Comprensión del proceso de inicio de sesión
Otra área que es importante comprender es el proceso de autenticación en Windows XP. Cuando un usuario inicia sesión en un equipo, el sistema operativo autentica las credenciales de usuario e inicia una instancia del escritorio de Windows, normalmente el Explorador de Windows. Este escritorio se ejecuta dentro del contexto de seguridad del usuario con los derechos y permisos de acceso del usuario registrado. Cuando el usuario inicia un programa, por ejemplo Microsoft Internet Explorer, este programa también se ejecuta en el contexto de seguridad del usuario.
Autenticación como administrador
Si un usuario se autentica como miembro del grupo local Administradores, el escritorio y todos los programas que el usuario inicie se ejecutarán con los derechos y permisos de acceso completos de un administrador. Los usuarios que tienen derechos administrativos pueden llevar a cabo las siguientes acciones, las cuales son válidamente necesarias para administrar un equipo:
| • | Instalar, iniciar y detener servicios y controladores de dispositivos. |
| • | Crear, modificar y eliminar la configuración del Registro. |
| • | Instalar, ejecutar y desinstalar programas. |
| • | Reemplazar archivos del sistema operativo. |
| • | Dar por terminados los procesos. |
| • | Controlar la configuración del firewall. |
| • | Administrar entradas de registro de eventos. |
| • | Instalar controles de Microsoft ActiveX®. |
| • | Tener acceso a SAM. |
Para la mayoría de los usuarios de equipos, estos derechos son innecesarios y aumentan considerablemente el riesgo del equipo. Debido a que un usuario con derechos administrativos puede realizar estos cambios en todo el sistema, también puede hacerlo cualquier programa que un usuario con derechos administrativos ejecute, ya sea intencional o accidentalmente. Por lo tanto, si un usuario se autentica con derechos administrativos, es mucho más fácil para el software malintencionado instalarse en dicho equipo.
Autenticación como usuario
Los usuarios que no pertenecen al grupo Administradores sólo pueden tener acceso a una cantidad de recursos considerablemente reducida y es posible que sólo puedan realizar cambios en áreas particulares. Para comparar los derechos de usuario con los derechos administrativos, los usuarios pueden llevar a cabo las siguientes tareas:
| • | Ver el estado de los servicios y de los controladores de dispositivos. |
| • | Crear, modificar y eliminar la configuración del Registro de HKEY_CURRENT_USER y leer la configuración del Registro en HKEY_LOCAL_MACHINE. |
| • | Ejecutar programas. |
| • | Leer la mayoría de los archivos del sistema operativo. |
| • | Ver los procesos en ejecución. |
| • | Ver la configuración del firewall. |
| • | Ver sólo entradas de registro del sistema y aplicaciones. |
Los usuarios limitados pueden realizar tareas necesarias para hacer su trabajo, como conectarse a una red inalámbrica, instalar controladores de Plug and Play firmados y cambiar la configuración de los equipos de escritorio. El enfoque LUA no busca limitar estas capacidades, sino más bien reducir los riesgos, mediante la limitación de las cuentas que tienen derechos administrativos.
Debe comprender el papel de los grupos en Windows XP y las diferencias entre la autenticación con derechos de usuario limitados y administrativos. La siguiente sección de este artículo informa acerca de los beneficios que surgen a partir del uso de las cuentas de usuario limitadas.
Beneficios del enfoque LUA
El enfoque LUA proporciona numerosos beneficios a organizaciones de todos los tamaños. Además de la reducción del riesgo de los ataques de software malintencionado, estos beneficios incluyen:
| • | Aumento de la seguridad |
| • | Aumento de la facilidad de uso |
| • | Aumento de la productividad |
| • | Reducción de los costos |
| • | Reducción de la piratería y de los problemas de responsabilidad legal |
Esta sección analiza estos beneficios y cómo pueden afectar a su organización.
Aumento de la seguridad
El enfoque LUA forma parte de una serie de medidas de seguridad que pueden ayudar a proteger una organización y los activos en el equipo frente a la vulneración de la seguridad por parte de los atacantes. Los atacantes buscan comprometer su red por diversas razones, entre las cuales se puede incluir:
| • | Obtener el control de varios equipos para usarlos en ataques de denegación de servicio distribuidos. |
| • | Enviar correo electrónico no deseado. |
| • | Comprometer información patentada. |
| • | Robar identidades de usuario. |
| • | Distribuir software malintencionado a otros equipos. |
Es probable que estos ataques tengan éxito cuando el usuario inicie sesión con una cuenta que tiene derechos administrativos. Por ejemplo, el software que se ejecuta con derechos administrativos puede:
| • | Instalar rootkits en modo kernel. |
| • | Instalar programas de registro clave de nivel de sistema. |
| • | Interceptar contraseñas de inicio de sesión. |
| • | Instalar spyware y software de publicidad. |
| • | Tener acceso a datos que pertenecen a otros usuarios. |
| • | Ejecutar código cuando cualquier persona inicie sesión. |
| • | Reemplazar archivos del sistema con caballos de troya. |
| • | Restablecer contraseñas. |
| • | Cubrir sus huellas en el registro de eventos. |
| • | Evitar que el equipo se reinicie. |
Si los usuarios inician sesión con cuentas de usuario limitadas, los programas que se ejecutan en aquellos contextos de usuarios pueden hacer sólo cambios mínimos en el sistema operativo. Esta restricción reduce considerablemente la capacidad de que el software malintencionado se instale y ejecute, lo que aumenta la seguridad sin impedir que los usuarios lleven a cabo sus trabajos.
Aumento de la facilidad de uso
La estandarización es un componente importante de una red manejable, especialmente con varios equipos cliente. Si una organización tiene 500 equipos cliente y cada equipo tiene una configuración diferente de software y de equipo, la administración proactiva se torna extremadamente compleja. Esta complejidad se hace evidente inevitablemente cuando los usuarios pueden instalar software y realizar cambios de configuración en todo el sistema.
Windows XP proporciona un enorme potencial para personalizar la configuración del sistema operativo. Si los usuarios pueden iniciar sesión con derechos administrativos, a menudo sucumben a la tentación de cambiar la configuración. Por ejemplo, un usuario puede desactivar el Firewall de Windows para realizar una conexión de red inalámbrica y luego conectarse con un proveedor de servicios de Internet a través de una conexión no segura en un punto de acceso inalámbrico público. Esta acción llevaría a comprometer rápidamente el equipo, puesto que todas las conexiones de red (incluso las redes de confianza) deben tener la protección de un firewall basado en hosts.
Los cambios iniciados por el usuario tienden a generar más llamadas de soporte y cada vez que un equipo modificado requiere atención, el personal de soporte técnico se enfrenta a una configuración de equipo diferente. Esta falta de estandarización hace que el soporte de escritorio, la resolución de problemas y la reparación se dificulten, demanden demasiado tiempo y resulten costosos.
El enfoque LUA también crea un límite de administración definido entre los usuarios y los administradores. Este límite permite a los usuarios concentrarse en hacer sus trabajos, mientras los administradores de red manejan la infraestructura. Si los usuarios tienen derechos administrativos, es imposible exigir el cumplimiento de este límite, y la estandarización no puede garantizarse.
Una red en la cual todos son administradores es imposible de administrar, porque los usuarios pueden burlar la configuración de administración de los sistemas. Si los usuarios no pueden instalar hardware y software no autorizado ni realizar cambios al sistema, los equipos deberían permanecer razonablemente cercanos al estándar de la organización. El enfoque LUA aumenta la facilidad de uso al limitar las modificaciones no deseadas a los entornos de equipos.
Aumento de la productividad
Los equipos han traído consigo grandes aumentos de productividad para las organizaciones de todos los tipos y tamaños. Sin embargo, los equipos requieren administración proactiva para mantener su ventaja de productividad. En las organizaciones cuyos usuarios dependen de sus equipos para realizar sus trabajos, el personal de TI debería minimizar la probabilidad de interrupción a patrones de trabajo, especialmente las que provienen de causas que se pueden evitar, como configuraciones incorrectas de equipos e infecciones provocadas por software malintencionado.
El enfoque LUA puede mantener la productividad a través del mantenimiento de las configuraciones de los equipos cliente. Cuando los usuarios no pueden cambiar la configuración de sus equipos, éstos son más estables, lo que lleva a una reducción de tiempo de inactividad y mantiene la productividad.
Cuando un software malintencionado ataca a un equipo también puede provocar una pérdida de productividad. El equipo requerirá de desinfección o incluso un nuevo formateo y el usuario perderá documentos o datos debido a la infección. Los administradores tendrán que restaurar copias de seguridad de los archivos, las cuales posiblemente deban actualizarse. Estas actividades adicionales pueden distraer a los empleados de sus tareas actuales o requerir que repitan el trabajo.
Reducción de los costos
A pesar de que el mantenimiento de varios equipos cliente no puede ser gratuito, los siguientes factores pueden aumentar considerablemente los costos:
| • | Combinaciones de hardware y software únicas que no han sido sometidas a pruebas |
| • | Cambios desconocidos al sistema operativo |
| • | Configuración personalizada de todo el sistema |
| • | Software no estándar con tipos de archivos desconocidos |
| • | Licencias para software instalado por el usuario |
| • | Multas por software sin licencia |
| • | Software malintencionado |
| • | Software y controladores beta |
| • | Uso de ancho de banda de Internet por parte de software malintencionado |
El enfoque LUA ayuda a prevenir la instalación de software no autorizado, sin licencia o malintencionado. También evita que los usuarios realicen cambios desconocidos a sus equipos. Estos límites reducen los costos de soporte de escritorio y tiempo de inactividad que los usuarios con derechos administrativos pueden causar.
Reducción de la piratería y de los problemas de responsabilidad legal
Las organizaciones están cada vez más conscientes de sus obligaciones de cumplimiento de disposiciones legales para evitar el uso ilegal de equipos de la empresa por parte de los empleados. Estas obligaciones requieren que las empresas ejecuten acciones cuando los empleados intencionadamente o sin saber:
| • | Permitan el robo de datos del cliente (por ejemplo, información de identificación personal [PII]). |
| • | Hospeden sitios Web que contengan piratería o contenido ilícito u ofensivo. |
| • | Hospeden servidores de retransmisión de correo electrónico comercial no solicitado. |
| • | Formen parte de ataques de denegación de servicio distribuidos. |
Es considerablemente menos probable que se descubra responsabilidad por estos tipos de abusos en las organizaciones que implementen el enfoque LUA, debido a que sus equipos clientes son más difíciles de comprometer. Además, es menos probable que los usuarios puedan instalar software no autorizado para alojar contenido ilegal, lo que disminuye ampliamente el riesgo de cometer actos que causen dicha responsabilidad. Esta protección se debe a que los usuarios limitados sólo tienen acceso de lectura a la carpeta Archivos de programa, a las carpetas de sistema de Windows y a la sección HKEY_LOCAL_MACHINE del Registro. Por lo general, es necesario contar con acceso de escritura a estas ubicaciones para instalar programas.
Equilibrio entre riesgo, seguridad, uso y costos
Al igual que varios enfoques a la administración de red, la adopción de métodos LUA involucra tener en cuenta los equilibrios entre riesgo, seguridad, uso y costo. Cuando se implementa correctamente, el enfoque LUA puede:
| • | Reducir el riesgo. |
| • | Aumentar la seguridad. |
| • | Afectar al uso. |
| • | Reducir los costos de administración. |
Reducir el riesgo
Cualquier conexión con una red de equipos provoca un elemento de riesgo y las conexiones a Internet implican riesgos más altos que los de los recursos de intranet. La única forma de eliminar completamente este riesgo es no conectar un equipo a una red. La mayoría de las organizaciones están de acuerdo en que los beneficios comerciales de la conectividad de la red superan con creces los riesgos, pero las estrategias que minimizan aquellos riesgos son una medida sensata.
El enfoque LUA puede llevar a una reducción importante de los riesgos actuales y futuros que surgen de los programas que se ejecutan con derechos administrativos. Las organizaciones que no implementan el enfoque LUA no sólo aumentan los riesgos asociados con el uso de equipos, sino que también son cada vez más vulnerables ante los ataques más nuevos, especialmente de día cero, donde los atacantes descubren una vulnerabilidad de software antes de que lo haga el fabricante. Es más probable que las organizaciones que implementan el enfoque LUA implementen también otras estrategias de administración de equipos de escritorio, por ejemplo la instalación de actualización de seguridad automática, la cual reduce aún más su perfil de riesgo.
Aumentar la seguridad
El enfoque LUA proporciona un gran aumento de la seguridad. El equilibrio representa menor libertad para que el usuario realice cambios en la configuración, pero esto no significa necesariamente un menor uso, como se analiza en la siguiente sección.
Es importante comprender que el enfoque LUA no proporciona una estrategia de seguridad completa, sino que debe integrarse con otras defensas de seguridad como parte de una estrategia de defensa en profundidad. Estas defensas múltiples incluyen conciencia del usuario, firewalls de perímetro y host, actualizaciones de seguridad regulares y escáneres actualizados para detectar software malintencionado. El enfoque LUA proporciona seguridad adicional que reduce la capacidad de que software malintencionado se expanda dentro de una organización.
Afectar al uso
Un hecho que es obvio para la administración de redes es que el uso y la seguridad son inversamente proporcionales entre si, y que un aumento de la seguridad reduce el uso.
Nota Es importante considerar que el uso debiera referirse a la facilidad de uso, no a la capacidad de que un usuario realice los cambios que desee en el equipo.
El enfoque LUA evita que los usuarios administren sus equipos, no que los usen. Eliminar los derechos administrativos aumenta la producción de los usuarios, puesto que tienen menos distracciones en el trabajo y disminuyen las oportunidades de configurar sus equipos en forma incorrecta.
Sin embargo, si el usuario puede ver una opción de configuración, pero no puede modificarla, ésta puede ser una fuente de frustración y puede generar llamadas al servicio de ayuda. La directiva de grupo permite ocultar a los usuarios elementos de la interfaz de Windows. Si los usuarios sólo ven las opciones que pueden cambiar, las restricciones de configuración se vuelven mucho menos frustrantes. La implementación del enfoque LUA junto con la directiva de grupo permite crear una interfaz simplificada que sólo muestra las opciones de configuración que el usuario puede cambiar.
Reducir los costos de administración
Estudios de organizaciones independientes han ilustrado los ahorros a largo plazo que puede proporcionar la administración de sistemas de red. El enfoque LUA se vincula estrechamente con una estrategia de administración de sistemas, porque los usuarios limitados no pueden cambiar la configuración de administración obligatoria. Sin embargo, para hacer realidad el ahorro de costos de la administración de sistemas, las organizaciones deben estar preparadas para efectuar la inversión que el enfoque LUA requiere y comprender los costos de implementar y no implementar el enfoque LUA.
La implementación del enfoque LUA provoca costos para:
| • | Planear e implementar el proyecto de manera piloto. |
| • | Probar programas personalizados en un entorno LUA. |
| • | Investigar soluciones para cuentas de usuario limitadas. |
| • | Volver a escribir aplicaciones, según sea necesario. |
| • | Probar nuevos programas antes de la implementación. |
| • | Manejar un aumento inicial de llamadas al servicio de soporte. |
| • | Enfrentar las consecuencias de este cambio en las directivas internas. |
Es importante sopesar estos costos y los costos asociados con la no implementación del enfoque LUA. No implementar el enfoque LUA puede crear costos a partir de:
| • | Configuración de equipos incorrecta causada por modificaciones del usuario. |
| • | Software no autorizado, no sometido a pruebas, sin licencia o malintencionado. |
| • | Posibles litigios. |
| • | Pérdida de negocios debido a compromisos de seguridad. |
Diversos análisis de los costos de la implementación y no implementación demuestran que la mayoría de los costos de implementación son calculables, mientras que los costos de la no implementación son desconocidos. Es posible evaluar el costo de volver a escribir una aplicación empresarial, pero resulta imposible estimar el costo de una demanda futura.
La rápida evolución de las amenazas a los equipos en red y los requisitos de simplificar y estandarizar las configuraciones de los equipos estimulará cada vez más a las organizaciones e individuos a ejecutar sus redes y equipos bajo cuentas de usuario limitadas. Los argumentos para el enfoque LUA están avanzando de manera importante en la inercia organizacional y en las malas prácticas establecidas. Ahora es necesario revisar cómo las organizaciones pueden implementar el enfoque LUA.
Implementación del enfoque LUA
La implementación del enfoque LUA involucra la aplicación de las siguientes reglas a los equipos que ejecutan Windows XP:
| • | Los usuarios sin privilegios de administración siempre deben iniciar sesión como usuarios limitados. |
| • | Los administradores sólo deben usar cuentas administrativas para llevar a cabo acciones administrativas. |
A pesar de que este enfoque trae consigo los beneficios que este artículo ya ha mencionado y aplica un entorno a prueba de fallas, hay muchos aspectos que necesitan ser abordados, especialmente cuando una organización ha permitido con anterioridad que los usuarios inicien sesión como administradores.
Consideraciones de la implementación
La implementación del enfoque LUA también crea problemas técnicos, administrativos y a nivel de directivas dentro de la organización. Estos problemas incluyen:
| • | Control sobre el equipo |
| • | Instalación de hardware |
| • | Instalación de programas |
| • | Ejecución de programas |
| • | Actualización del sistema operativo |
| • | Configuración del sistema operativo |
| • | Costos |
Control sobre el equipo
Posiblemente, el problema a nivel de directivas más difícil de resolver es el del control de los equipos cliente. Muchos ejecutivos senior y responsables de la toma de decisiones comerciales esperan tener un completo control sobre sus equipos, y no se dan cuenta o desestiman los riesgos de esta configuración. Las personas que ocupan cargos ejecutivos a menudo tienen poca tolerancia con respecto a situaciones que los frustran o a los mensajes que les señalan lo que no pueden hacer. Una respuesta típica a cualquier mensaje de advertencia acerca de derechos restringidos es insistir en que el administrador de red les otorgue completo control administrativo.
Para manejar esta situación, es esencial tener un patrocinador ejecutivo de alto rango y con educación técnica para el proyecto. Para muchas empresas, este patrocinador ejecutivo debe ser al menos el Director general de información (CIO) o su equivalente, y debe estar dispuesto a educar a sus colegas de la administración acerca de la creciente amenaza del software malintencionado y cómo dicho software se puede instalar en el equipo a partir de sitios Web comprometidos. Si la educación no proporciona un argumento lo suficientemente enérgico, será necesario resaltar los problemas de la responsabilidad legal que podrían ser resultado de la instalación no intencional de software malintencionado en sus equipos, y explicar cómo las herramientas que este documento presenta pueden abordar cualquier problema.
La educación del usuario es otra área importante que abordar. La mayoría de los usuarios se sentirá amenazado por cualquier intento de eliminar su control sobre lo que ellos consideran como "su" equipo, y pueden dar pasos para interrumpir la implementación del enfoque LUA. Es común recibir una gran cantidad de quejas acompañadas de una exageración de los problemas que los usuarios ahora enfrentan debido a que ya no poseen derechos administrativos. Siempre y cuando la organización haya llevado a cabo un completo programa de pruebas, es probable que sea fácil resolver estas quejas.
Instalación de hardware
Los usuarios con equipos de escritorio en entornos de oficinas nunca deberían requerir derechos administrativos. Sin embargo, los usuarios de equipos móviles pueden legítimamente necesitar instalar hardware como impresoras y grabadores de DVD para realizar sus trabajos cuando no están conectados a la red de la empresa.
El problema de la instalación de hardware para los usuarios móviles es un tema para el cual las organizaciones necesitan considerar una amplia gama de opciones, el cual posiblemente incluye opciones que no se ajustan al enfoque LUA. Las herramientas que este documento describe en la siguiente sección también pueden ayudar con administración de hardware en esta situación.
Instalación de programas
Muchos programas requieren privilegios administrativos para su instalación. Esta conducta ayuda a inhibir la instalación de programas no autorizados, pero también puede evitar la instalación de programas y actualizaciones autorizadas. La instalación de programas puede ser particularmente problemática cuando el usuario no tiene un equipo unido por un dominio o que sólo se conecta ocasionalmente a la red de la organización. Resolver el problema de cómo instalar programas no autorizados y actualizaciones de seguridad puede requerir cambios en procedimientos operacionales y el uso de herramientas como publicación de aplicaciones en Active Directory®, la Herramienta de implementación de derechos elevados en Microsoft Systems Management Server (SMS) 2003 con Service Pack 1 o Escritorio remoto.
Algunos sitios de Internet sólo funcionan correctamente con software adicional y controles ActiveX que se descargan en el equipo cliente. Las herramientas de administración como el kit de administración de Internet Explorer y la directiva de grupo pueden permitir esta conducta con sitios donde la necesidad comercial es superior al riesgo percibido de permitir descargas de software desde dicha ubicación.
Ejecución de programas
Algunos programas requieren privilegios administrativos para su ejecución. Generalmente, esta restricción surge a partir de errores de codificación o mala implementación de instrucciones generales de programación y seguridad. Por ejemplo, un programa puede instalar una clave de producto obligatoria en una ubicación del Registro donde una cuenta de usuario limitada no puede leer el valor de la clave.
Nota Los programas que siguen las recomendaciones de programación de Microsoft no deberían experimentar problemas con las restricciones de seguridad.
En muchos casos, puede ser posible enfrentar el problema otorgando acceso de grupo Usuarios a la ubicación restringida que causa que la aplicación no funcione. El Application Compatibility Toolkit (ACT) de Microsoft Windows que este documento describe en la siguiente sección, también puede hacer frente a muchos de estos problemas de incompatibilidad. Los administradores de red no deben simplemente aceptar el argumento de que debido a que otro programa sólo funciona con permisos administrativos, todos deben ser administradores.
Actualización del sistema operativo
La instalación manual de actualizaciones del sistema operativo desde el sitio Web de actualizaciones de Microsoft requiere que el escritorio del sistema operativo se ejecute con derechos administrativos, de modo que, para usar la actualización de Microsoft, el usuario debe iniciar sesión con credenciales administrativas. Sin embargo, el servicio de Actualizaciones automáticas se ejecuta con credenciales de cuenta del sistema y no experimenta esta restricción. Si configura Actualizaciones automáticas para que compruebe e instale las actualizaciones de sistema operativo y programas en forma automática, muy rara vez será un requisito realizar la actualización en forma manual. Para obtener más información, consulte Cómo programar actualizaciones automáticas en Windows Server 2003, en Windows XP y en Windows 2000, en http://support.microsoft.com/default.aspx?scid=kb;en-us;327838.
SMS 2003 con Service Pack 1 incluye funciones para identificar e instalar actualizaciones de sistema operativo y aplicaciones sin necesidad de que el usuario tenga derechos administrativos. Windows Software Update Services (WSUS) proporciona administración de actualización de seguridad simplificada para organizaciones que no tienen SMS instalado.
Configuración del sistema operativo
La directiva de TI de la empresa debe definir qué acciones de configuración pueden llevar a cabo en sus equipos los usuarios limitados. Los cambios a las directivas de seguridad y configuración del Registro, ya sea de manera local o a través de la directiva de grupo, pueden hacer que los usuarios limitados ejecuten estos cambios aprobados en sus equipos, como cuando los usuarios móviles necesitan cambiar la hora o la zona horaria del equipo. La siguiente sección de este documento enumera varias herramientas que abordan el problema de la configuración del sistema operativo con una cuenta de usuario limitada.
Costos
Finalmente, la planeación, implementación y administración del enfoque LUA pueden ser costosas. Si tiene programas de terceros, empresariales o de importancia vital, estos costos pueden ser importantes.
Un ejemplo puede ser un programa de importancia vital que no sea compatible con el enfoque LUA y que requiera derechos administrativos para ejecutarse. Dependiendo de la edad del programa y de los recursos de desarrolladores disponibles, es posible que la organización necesite:
| • | Probar el programa en un entorno LUA. | ||||||
| • | Identificar un proceso de mitigación si el programa no se ejecuta, como:
| ||||||
| • | Volver a escribir el programa desde cero. |
Sin embargo, si la organización ya planea actualizar el programa personalizado a una tecnología más nueva, el costo de cumplir con el enfoque LUA puede ser importante.
Herramientas
Hay varias herramientas disponibles en Microsoft y otros proveedores de software para ayudar con el proceso de administrar un entorno que utilice el enfoque LUA. Esta sección describe algunas herramientas que ayudan a administrar entornos en los cuales los usuarios inician sesión con derechos de usuario limitados. Estas herramientas incluyen:
| • | Servicio de inicio de sesión secundario |
| • | MakeMeAdmin |
| • | PrivBar |
| • | PolicyMaker |
| • | Application Compatibility Toolkit |
| • | RegMon y FileMon |
| • | Systems Management Server |
Nota MakeMeAdmin, Privbar, PolicyMaker, RegMon y FileMon no son compatibles con Microsoft, y Microsoft no garantiza la idoneidad de estos programas. El uso de estos programas será bajo su propia responsabilidad.
Servicio de inicio de sesión secundario
El Servicio de inicio de sesión secundario (o comando "runas") permite a los usuarios ejecutar programas con credenciales alternativas. El Servicio de inicio de sesión secundario crea otro token de seguridad con las nuevas credenciales y pertenencias a grupos, que el programa utiliza para tener acceso a los recursos.
A pesar de que el Servicio de inicio de sesión secundario es una herramienta útil, la cuenta secundaria utiliza credenciales separadas de la cuenta principal, lo cual crea las siguientes restricciones:
| • | El usuario debe conocer la contraseña de la cuenta secundaria y debe entregar dichas credenciales. |
| • | Algunos programas no pueden ejecutar una segunda instancia con diferentes credenciales a partir de la instancia actual. |
| • | La cuenta secundaria no debe tener la misma impresora y asignaciones de unidades que la cuenta principal. |
| • | La cuenta secundaria debe ser una cuenta local, y, por lo tanto, no debe tener derechos de acceso a recursos de redes o dominio, poder ejecutar secuencias de comandos de inicio de sesión de dominio o aplicar la directiva de grupo. |
| • | Algunos cambios (como instalación de programas) sólo se aplican al perfil de la cuenta secundaria, no al de la primaria. Este efecto puede ocurrir cuando un programa se instala "Sólo para este usuario" en lugar de para "Todos los usuarios". |
El comando "runas" no funciona cuando se le indica utilizar rutas de Convención de nomenclatura universal (UNC), por ejemplo a impresoras y conexiones de redes. Existen soluciones que resuelven este problema, como utilizar el comando "runas" para iniciar Internet Explorer y luego abrir objetos basados en carpetas en Internet Explorer. Sin embargo, a este enfoque le falta la simplicidad del enfoque "haga clic con el botón secundario y luego haga clic en Run As (Ejecutar como)".
Otros usos del comando "runas" incluyen la creación de un acceso directo a una secuencia en el menú Enviar a del usuario, el cual ejecuta el programa seleccionado con derechos administrativos. Como alternativa, los accesos directos pueden tener establecida la función avanzada Ejecutar con credenciales diferentes. Para obtener más información, consulte How to enable and use the "Run As" command when running programs in Windows (en inglés) en http://support.microsoft.com/default.aspx?scid=kb;en-us;294676&sd=tech.
MakeMeAdmin
MakeMeAdmin sortea la asignación de unidades, derechos de acceso y restricciones de instalación de programas del Servicio de inicio de sesión secundario a través del uso de dos procesos de inicio de sesión consecutivos. Para sortear estas restricciones, la secuencia:
1. | Obtiene los detalles de cuenta de inicio de sesión actual. |
2. | Invoca al Servicio de inicio de sesión secundario de modo que sea posible iniciar sesión con las credenciales de cuenta de administrador local. |
3. | Usa la nueva sesión de inicio de sesión de administrador local para agregar su cuenta al grupo local Administradores. |
4. | Invoca nuevamente al Servicio de inicio de sesión secundario y solicita que inicie sesión como cuenta de usuario actual, pero como miembro del grupo local Administradores. |
5. | Crea un nuevo símbolo del sistema en el cual la cuenta actual es miembro del grupo local Administradores. Este símbolo del sistema tiene un título y un color de fondo diferentes para distinguirse de un símbolo del sistema estándar. |
6. | Elimina la cuenta actual del grupo local Administradores. |
El símbolo del sistema que la secuencia crea se ejecuta bajo las credenciales de cuenta de inicio de sesión actual pero con derechos administrativos, y cualquier programa que se ejecute desde este símbolo del sistema también tiene derechos administrativos. Las asignaciones de unidades y los derechos de acceso a la red son los mismos que los de la cuenta actual y si utiliza este símbolo del sistema para instalar un programa, dicho programa se instalará en su perfil actual, no en el perfil local Administrador.
Para obtener más información acerca de MakeMeAdmin, consulte MakeMeAdmin -- temporary admin for your Limited User account (en inglés) en el WebLog de Aaron Margosis, en http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx.
PrivBar
PrivBar muestra una herramienta con codificación de colores en el Explorador de Windows e Internet Explorer que indica el nivel de privilegios actual del usuario. Por ejemplo, si un usuario inicia sesión con derechos administrativos, la barra de PrivBar cambia a amarillo, con un indicador rojo. El indicador recuerda al usuario que está utilizando privilegios administrativos para explorar un sitio Web, lo que aumenta el riesgo de su equipo. Para obtener más información acerca de PrivBar, consulte PrivBar -- An IE/Explorer toolbar to show current privilege level (en inglés) en el WebLog de Aaron Margosis, en http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx
PolicyMaker
PolicyMaker de Desktop Standard se compone de un conjunto de utilidades que extiende la capacidad de la directiva de grupo para permitir el enfoque LUA con redes distribuidas. El conjunto PolicyMaker también incluye herramientas que comprueban y reparan problemas con compatibilidad de programas. Las herramientas más importantes para implementar el enfoque LUA incluyen PolicyMaker Standard Edition, PolicyMaker Application Security y PolicyMaker Software Update.
De especial interés para el enfoque LUA es PolicyMaker Application Security, la cual permite a los administradores de red asociar niveles de permiso a programas individuales. El administrador de red selecciona el programa y luego elimina los grupos de seguridad del token del proceso cuando el programa se inicia. Esta restricción se propaga a través de la directiva de grupo. Para obtener más información acerca de PolicyMaker, consulte PolicyMaker Overview (en inglés) en el sitio Web de Desktop Standard, en www.desktopstandard.com/PolicyMaker.aspx.
Application Compatibility Toolkit
El Microsoft Windows Application Compatibility Toolkit (ACT) es una recopilación de herramientas y documentos que asisten a los profesionales y desarrolladores de TI para alcanzar los niveles más altos de compatibilidad de aplicaciones con los sistemas operativos de Windows. Las herramientas incluyen:
| • | Analizador de aplicaciones. Esta herramienta simplifica el inventario y las pruebas de compatibilidad de la aplicación. |
| • | Administrador de compatibilidad. Esta base de datos enumera las reparaciones de compatibilidad necesarias para dar soporte a programas no actualizados en Windows. |
| • | Evaluador de compatibilidad de Internet Explorer. Esta herramienta proporciona archivos de registro detallados acerca de Internet Explorer en los cuales se registran los problemas de compatibilidad con este explorador. |
El Administrador de compatibilidad incluye herramientas que permiten a un desarrollador buscar problemas de permisos de usuarios durante la etapa de desarrollo de las aplicaciones personalizadas. El ACT puede generar una reparación de compatibilidad que el administrador puede implementar en los equipos de los usuarios. La reparación de compatibilidad permite que el programa se ejecute en modo LUA al redirigir las llamadas de aplicación a ubicaciones donde el usuario limitado tiene acceso de lectura y escritura. Para obtener más información acerca del ACT, consulte Compatibilidad de aplicaciones para Windows en www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx.
RegMon y FileMon
RegMon y FileMon son dos utilidades del respetado sitio Web Sysinternals. RegMon muestra la actividad de acceso al Registro en tiempo real, pues enumera cada llamada al Registro hecha por una aplicación y registra el resultado. Esta herramienta permite identificar cuando una aplicación no puede tener acceso a una clave del Registro. De la misma forma, FileMon muestra la actividad del sistema de archivos en tiempo real, pues enumera cada llamada del sistema que realiza una aplicación y registra el resultado.
RegMon y FileMon permiten a los administradores probar una aplicación dentro de un entorno LUA e identificar la falla en cualquier llamada que la aplicación realice al Registro o al sistema de archivos. El administrador puede mitigar la falla, por ejemplo, cambiando el sistema de archivos o los permisos de la clave del Registro. La directiva de grupo puede propagar estos cambios de permisos a varios equipos. Para obtener más información acerca de estas utilidades, consulte el sitio Web Sysinternals en www.sysinternals.com.
Systems Management Server
Microsoft Systems Management Server (SMS) 2003 es un completo sistema de administración de equipos de escritorio que proporciona servicios de administración para medianas y grandes organizaciones con redes centralizadas o distribuidas. Estos servicios de administración incluyen la instalación de software y actualizaciones de seguridad.
SMS proporciona soporte para el enfoque LUA a través de la capacidad de instalar software y actualizaciones de seguridad sin la necesidad de que los usuarios inicien sesión con derechos administrativos. Para obtener más información acerca de SMS, consulte Systems Management Server 2003 SP1 Product Overview (en inglés) en www.microsoft.com/smserver/evaluation/overview/default.mspx.
Limitación de credenciales administrativas
Si una organización no puede implementar el enfoque LUA por completo, es posible mitigar el riesgo de los programas en ejecución con derechos administrativos si se garantiza que todos los programas que tengan acceso a los recursos de la red siempre se ejecuten con derechos de usuario limitados. A pesar de que este enfoque no cumple con el principio del privilegio mínimo, ofrece algunos beneficios, y es mejor que simplemente permitir que todos ejecuten los programas con derechos administrativos.
Para proporcionar seguridad eficaz cuando los usuarios inicien sesión con derechos administrativos, será necesario:
| • | Implementar herramientas para minimizar el riesgo de ejecutar programas como administrador |
| • | Asegurarse de que los programas orientados a Internet como correos electrónicos, exploradores y clientes de mensajes instantáneos siempre se ejecuten con derechos de usuario limitados. Permitir que dichos programas se ejecuten con derechos administrativos es el método más común para introducir software malintencionado en una organización. |
| • | Supervisar los equipos en busca de uso administrativo no aprobado. Para obtener más información acerca del monitoreo de seguridad, consulte Guía de planeamiento de supervisión de la seguridad y detección de ataques, en www.microsoft.com/technet/security/topics/ |
Las siguientes herramientas ayudan a minimizar el riesgo del compromiso de equipos cuando los usuarios inician sesión con derechos administrativos. Además, algunas de las herramientas de la sección "Iniciar sesión como Usuario limitado" también se aplican en esta situación.
| • | Servicio de inicio de sesión secundario |
| • | Directivas de restricción de software |
| • | DropMyRights |
Nota DropMyRights no es compatible con Microsoft, y Microsoft no garantiza la idoneidad de este programa. El uso de este programa será bajo su propia responsabilidad.
Servicio de inicio de sesión secundario
El Servicio de inicio de sesión secundario proporciona una opción para ejecutar un programa como cuenta con menos privilegios. Por ejemplo, en Windows XP con SP2, los iconos de escritorio del usuario para Internet Explorer podrían reemplazarse con versiones que invoquen la ejecución como cuadro de diálogo, lo cual muestra la opción Proteger mi equipo contra la actividad de programas sin autorización. Esta opción desactiva los identificadores de seguridad (SID) en el token de acceso del usuario de forma similar a la herramienta DropMyRights que se describe posteriormente en esta sección.
Directivas de restricción de software
Las directivas de restricción de software son parte de la directiva de grupo y proporcionan la capacidad de regular software desconocido o no fidedigno. Las directivas de restricción de software pueden aplicarse a una de tres posibles configuraciones de los programas. Estas configuraciones son:
| • | Sin restricciones |
| • | No permitido |
| • | Usuario básico |
Nota Sólo Sin restricciones y No permitido son visibles en forma predeterminada. Para ver la configuración Usuario básico, debe editar una clave del Registro. Para obtener más información, consulte Browsing the Web and Reading E-mail Safely as an Administrator, Part 2 (en inglés), en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp.
En resumen, los programas sin restricciones pueden ejecutarse sin obstáculos, los programas no autorizados no pueden y los programas que tienen la configuración Usuario básico aplicada sólo pueden ejecutarse con derechos de usuario limitados. Este enfoque permite, por ejemplo, configurar una directiva de restricción de software que siempre ejecute Internet Explorer como usuario limitado.
Las directivas de restricción de software también pueden evitar la ejecución de software malintencionado desde ciertas ubicaciones, como la carpeta de archivos temporales de Internet Explorer. Una regla de ruta de restricción de software podría no permitir que ningún programa intente ejecutarse desde la carpeta de archivos temporales de Internet. La directiva de grupo puede aplicar esta regla a todos los equipos del dominio.
Para obtener más información acerca de las directivas de restricción de software, consulte Using Software Restriction Policies to Protect Against Unauthorized Software (en inglés), en www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.
DropMyRights
DropMyRights desactiva los SID y elimina los privilegios del token de acceso del usuario y luego utiliza este token restringido para iniciar un programa especificado. DropMyRights permite a un usuario iniciar sesión con derechos administrativos y luego ejecutar un programa en uno de tres niveles de privilegio:
| • | Normal |
| • | Restringido |
| • | No seguro |
Nota El nivel de privilegio normal corresponde a una cuenta de usuario limitada. El nivel restringido es más limitado debido a la adición del SID de restricción al token de acceso. El nivel no seguro tiene sólo derechos de acceso mínimos y la mayoría de las aplicaciones no funcionarán a este nivel.
Por ejemplo, un usuario con privilegios administrativos puede necesitar explorar un sitio Web. El usuario puede ejecutar Internet Explorer desde un acceso directo que invoque DropMyRights, y dicho acceso directo especificaría que el programa debe ejecutarse como usuario restringido. Esta instancia de Internet Explorer tiene derechos de acceso mínimos en el equipo cliente, lo que disminuye la posibilidad de que cualquier programa malintencionado pudiera instalarse o ejecutarse.
Para obtener más información de DropMyRights, consulte Browsing the Web and Reading E-mail Safely as an Administrator (en inglés), en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp.
Para obtener más información acerca de los efectos de ejecutar Internet Explorer como usuario restringido, consulte Running restricted -- What does the "protect my computer" option mean? (en inglés) en http://blogs.msdn.com/aaron_margosis/archive/2004/09/10/227727.aspx.
Desarrollos futuros
Windows Vista incluye funciones que mejorarán la protección para las cuentas de usuario. Windows Vista permitirá a los usuarios trabajar eficazmente con cuentas de usuario limitadas y los programas certificados de Windows Vista no tendrán problemas para ejecutarse bajo cuentas de usuario limitadas. Cuando los programas intenten escribir en áreas protegidas del Registro como la sección HKEY_LOCAL_MACHINE, Windows Vista redirigirá dichas escrituras a la sección HKEY_CURRENT_USER. Sin embargo, a medida que los proveedores actualicen sus programas y los certifiquen para Windows Vista, la operación bajo el enfoque LUA debe volverse una práctica común.
Windows Vista también mejora el uso. Si un usuario intenta hacer un cambio que requiera derechos administrativos, Vista solicitará automáticamente al usuario ingresar las credenciales administrativas.
El aumento de protección para las cuentas de usuario es sólo una de las importantes mejoras a la seguridad en Windows Vista. A medida que las organizaciones actualicen a Windows Vista, la oportunidad de que el software malintencionado se aproveche de las cuentas de nivel administrador debe disminuir. Para obtener más información acerca de la protección de cuentas de usuario en Windows Vista, consulte el sitio Web de Windows Vista en www.microsoft.com/windowsvista/it-professionals.mspx.
Resumen
El crecimiento de las amenazas a equipos en red requiere que las organizaciones de todos los tamaños implementen una estrategia de defensa en profundidad. La implementación del enfoque LUA a los equipos que ejecutan Windows XP proporciona un importante componente de esta estrategia.
El enfoque LUA contrarresta la tendencia de muchas organizaciones de otorgar derechos administrativos a usuarios de equipos cliente a través de la pertenencia en el grupo local Administradores. Este documento resalta los peligros inherentes en el otorgamiento de derechos administrativos a todos los usuarios, debido a que al hacerlo, otorga privilegios administrativos a cualquier programa que el usuario ejecute. Es especialmente importante que los programas orientados a Internet como exploradores, lectores de correo electrónico y clientes de mensajería instantánea no deben ejecutarse con derechos administrativos, puesto que esta configuración hace que el equipo cliente sea considerablemente más vulnerable a los ataques.
Para retornar brevemente el ejemplo que aparece al comienzo de este documento, si la organización hubiera implementado el enfoque LUA, el ejecutivo podría haber explorado el sitio Web comprometido como usuario limitado en lugar de hacerlo como administrador. El software malintencionado podría no haber infectado su equipo portátil y el ejecutivo podría haber ofrecido aquella presentación de ventas ganadora que le habría asegurado el pedido de gran tamaño.
Finalmente, el enfoque LUA no es una solución por sí sola, sino que debe integrarse con otras defensas de seguridad. Estas defensas incluyen la conciencia del usuario, firewalls de perímetro y host, actualizaciones de seguridad regulares y escáneres actualizados para detectar software malintencionado.
Recursos
Para obtener más información sobre el uso del enfoque LUA en Windows XP, consulte los siguientes recursos:
| • | Web Log de Aaron Margosis en http://blogs.msdn.com/aaron_margosis |
| • | Web Log de Michael Howard en http://blogs.msdn.com/michael_howard |
| • | El sitio Web de nonadmin en http://nonadmin.editme.com |
| • | La Guía de planeamiento de la seguridad de cuentas de administrador en www.microsoft.com/technet/security/topics/serversecurity/administratoraccounts/default.mspx |
| • | El grupo de noticias Seguridad y administración de Windows XP en TechNet en www.microsoft.com/technet/community/newsgroups/dgbrowser/en-us/default.mspx?dg=microsoft.public.windowsxp.security_admin. |
| • | TechNet Webcast: Limited User Access: The Good, the Bad and the Ugly (Level 300) (en inglés) en http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032278618&EventCategory=5&culture=en-US&CountryCode=US |
| • | TechNet Webcast: Tips and Tricks to Running Windows with Least Privilege (Level 300) (en inglés) en http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032274954&EventCategory=5&culture=en-US&CountryCode=US |
| • | El Centro de desarrollo de seguridad de Microsoften http://msdn.microsoft.com/security/default.aspx |
| • | El artículo Developer Best Practices and Guidelines for Applications in a Least Privileged Environment (en inglés) en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtVista.asp |
| • | El artículo Developing Software in Visual Studio .NET with Non-Administrative Privileges (en inglés) en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp |
| • | Escritura de código seguro, segunda edición por Michael Howard en www.microsoft.com/MSPress/books/5957.asp |
| • | El artículo How to Troubleshoot Program Compatibility Issues in Windows XP (en inglés) en www.microsoft.com/technet/prodtechnol/winxppro/support/troubleshoot.mspx |
| • | Criterio de Evaluación de Sistemas Informáticos Confiables del Departamento de defensa (Libro Naranja) en www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html. |
Reconocimientos
Microsoft Solutions for Security and Compliance group (MSSC) desea reconocer y agradecer al equipo que produjo Aplicación del principio de privilegio mínimo para cuentas de usuarios en Windows XP. Las siguientes personas fueron directamente responsables o efectuaron una contribución sustancial a la escritura, desarrollo y prueba de esta solución.
Autor
Anthony Steven, Content Master Ltd
Escritor
Mike Danseglio
Personal de pruebas
Gaurav Singh Bora, Infosys Technologies
Mehul Mediwala, Infosys Technologies
Editores
Jennifer Kerns, Wadeware
John Cobb, Volt Information Sciences
Administrador de programas
Tom Cloward
Administrador de la versión
Flicka Crandell
Colaboradores
Tony Bailey
Darren Canavor
Karl Grunwald
Kelly Hengesteg
Karina Larson, Volt Information Sciences
Chrissy Lewis, Siemens Business Services, Inc.
David Mowers
Jeff Newfeld
Bomani Siwatu
Stacy Tsurusaki, Volt Information Sciences
David Visintainer, Volt Information Sciences
Revisores
Bob Blank, Target Corporation
Jeremy Brayton, un revisor independiente
Derick Campbell
Chase Carpenter
Romulo A. Ceccon, Dataprom
Matt Clapham
Chris Corio
Greg Cottingham
John Czernuszka
Michael Dragone, Titleserv, Inc
Dana Epp, un revisor independiente
Stephen Friedl, Microsoft Security MVP
Guido Grillenmeier, Hewlett-Packard
Michael Harradon, Netivity Solutions
Robert Hurlbut, Hurlbut Consulting, Inc
Mark Kradel
Jamie Laflen
Alex Lee, Sprint Nextel Corporation
Kevin Lundy, CAE, Inc
Tim C. MalcomVetter, Truman Medical Centers
Aaron Margosis
Brian Marranzini
David McClure, Siemens Medical Solutions
Don McGowan
Michael Miller, Media General, Inc
Charles J. Palmer, un revisor independiente
Keith Pawson, un revisor independiente
Brian A. Reiter, WolfeReiter, LLC
Michael Rickard, Bristol University
John Robbins, Wintellect
Alex Rublowsky
Mike Smith-Lonergan
Mike Sorsen, Edward Jones
Didier Stevens, Contraste Europe
Eric Wood
Martin Zugec, un revisor independiente