• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)

    Mitos y leyendas: UAC, ese gran incomprendido I (Introducción) Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User Account Control), ha sido especialmente criticada y rechazada por la mayoría de los usuarios. ...

          
    1. #1
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Mensaje Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)

      Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)




      Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User Account Control), ha sido especialmente criticada y rechazada por la mayoría de los usuarios. Sin embargo, si se presta un poco de atención, se puede usar UAC como un gran adelanto en la seguridad y comodidad de Windows. Microsoft ha dado un paso interesante en la dirección correcta con UAC, pero los usuarios que se empeñan en usar el administrador no han sabido valorarlo. UAC es un incomprendido porque en realidad, hay que entenderlo como una bendición para los que usan una cuenta limitada en Vista y 7. Un complemento ideal para lo que sigue siendo la mejor defensa: evitar el uso del administrador.

      El qué y el porqué del UAC

      Microsoft no tenía ningún control de usuario real para su gama de escritorio hasta Windows XP. Su introducción supuso un enorme paso adelante para la seguridad. Utilizar Windows XP en modo usuario estándar era, por fin, el mejor antídoto contra el malware y todo tipo de amenazas. Pero de nada sirvió. Por miedo a que los usuarios (después de años de MS-DOS, 3.11 y 9x) no supieran lidiar con NTFS, permisos, derechos y privilegios, decidió que usar la cuenta de administrador todo el tiempo era lo "menos malo". Sacrificaron todas las mejoras que ellos mismos habían introducido con tal de que se entendiera su flamante sistema operativo. Los programadores se relajaron entonces, y dieron por hecho que el usuario debía ser administrador, y no se preocuparon por comprobar dónde podían escribir, a qué zonas del sistema podían acceder, etc. De hecho, pocos son los virus que se preocupan hoy en día de si pueden escribir o no en "system32", zona favorita donde se esconde la inmensa mayoría del malware actual. Si el usuario no fuese administrador, esa inmensa mayoría del malware no sería hoy efectiva, porque no serían capaces de escribir archivos donde presuponen que pueden.

      Así que XP permitía protegerse con el usuario estándar, pero muchos lo ignoraban y además era incómodo. Microsoft no ofrecía ninguna herramienta realmente cómoda para que un "loco" que decidiera usar su Windows como debe ser, desde una cuenta sin privilegios, pudiera administrar de forma sencilla su equipo. Todo tipo de trabas en los programas y en la propia interfaz hacía que muchos de los intentos por migrar hacia un usuario raso fracasaran. Algo había que hacer, y con la introducción de Vista era el momento adecuado.

      Un cambio a medias

      Con Vista, Windows podría haber tomado un rumbo radicalmente distinto (y a la vez, igual a la de cualquier otro sistema operativo): obligar a que la primera cuenta de usuario creada cuando se instala el sistema (la que todo el mundo usa habitualmente) fuera de usuario raso. Pero no. Sería demasiado chocante, así que decidió introducir un paso intermedio, el UAC. En pocas palabras, se trata de una pantalla de protección contra las acciones potencialmente peligrosas para el usuario, incluso si eres el administrador. Técnicamente hablando, es un concepto extraño.

      En XP, un usuario que se presenta en el sistema, tiene un token de seguridad. Este token puede ser básicamente de administrador (puede hacer lo que quiera) o de usuario estándar (se ve limitado para escribir en ciertas zonas del sistema, o para realizar ciertos cambios). En Vista por el contrario, cuando un administrador inicia sesión se le conceden dos: uno de administrador real y otro de usuario estándar (sí, aunque se sea administrador). Por defecto, se usa el token de usuario estándar para arrancar la mayoría de programas, y esto es estupendo desde el punto de vista de la seguridad. Para realizar las acciones que requieren elevar privilegios, se usa el token de administrador, y es en este paso donde interpone el UAC. El usuario es consciente de cuándo se están realizando acciones peligrosas y debe o bien proporcionar consentimiento o bien introducir sus credenciales.

      O sea, Vista prácticamente obliga al usuario a tener pocos privilegios aunque pertenezca al grupo de administradores. Pero a muchos usuarios les gusta ser "poderosos", no les apetece responder constantemente a preguntas de si realmente quieren o no realizar tal o cual acción, así que ante la incomodidad terminan por desistir. El usuario echa de menos al todopoderoso administrador del XP, y por eso UAC ha resultado un estorbo para la mayoría.

      Sin embargo, UAC es una herramienta excelente para quien usa Vista como usuario estándar. UAC es lo que todo usuario de XP que lo utilizaba con una cuenta limitada estaba esperando: una forma cómoda de mantener el sistema protegido.



      Fuente: Hispasec - Seguridad Informática

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)

      Mitos y leyendas: UAC, ese gran incomprendido II (UAC de forma útil)



      La potencia del UAC se muestra realmente cuando se utiliza una cuenta con privilegios limitados. Con UAC bien configurado, Windows se comporta de forma parecida a otros sistemas operativos que llevan años obligando al usuario (con éxito) a utilizar cuentas de usuario estándar: GNU/Linux y Mac OS.

      Por defecto, el primer usuario creado cuando se instala Vista es una cuenta de administrador en "modo de aprobación". En este modo de UAC no se pide credenciales, sino que simplemente, ante una acción potencialmente peligrosa, se pregunta si realmente se quiere hacer. Lo que ha dado mala fama al UAC y probablemente un gran error de Windows Vista (corregido al parecer en Windows 7) ha sido obligar a responder preguntas de si realmente se quiere realizar una acción a un usuario que ya de por sí es administrador.

      Para usar de forma útil el UAC el usuario debe ser usuario raso y preferiblemente, configurarlo para que pida las credenciales. En XP, cada vez que se quería elevar privilegios para realizar tareas de administrador, había que utilizar herramientas incómodas como "runas" o realizar ciertos trucos para que el proceso "explorer.exe" heredara el token de administrador. Esto era un suplicio. Con UAC, cada vez que el usuario desee realizar una acción como administrador, el diálogo aparecerá mágicamente, y solo será necesario aprobar la acción o introducir las credenciales. Todo es mucho más cómodo. Pero para conseguir esto, hay que manipular y entender algunos aspectos del UAC.

      La pantalla gris

      A muchos usuarios les molesta que la pantalla se oscurezca cuando aparece el diálogo del UAC. Incluso, algunas tarjetas gráficas no lo soportan y se obtienen resultados extraños cuando UAC se interpone en su camino. Esto no es un capricho de Microsoft, de hecho, es bastante útil. Básicamente, el diálogo del UAC se ejecuta en otro contexto al que el fondo de escritorio normal, "no puede llegar". Si no fuera así, un malware alojado en el sistema, podría acceder a esa pantalla de diálogo y aprobar por él mismo las acciones sin que el usuario pudiese evitarlo. Claro está que para que esto ocurriera, el sistema debería, ya de por sí, estar infectado, pero no está de más prevenir. Es una medida interesante y útil. Aun así, es posible deshabilitarla.

      Aprobando todo el rato

      Como comentamos, si un usuario quiere usar Vista como XP bajo su cuenta y riesgo, es fácil deshabilitar el UAC para la cuenta de administrador. A muchos choca que, aun siendo administrador, se le pregunte si quiere realizar ciertas acciones. Simplemente hay que desactivar el "Modo de aprobación de administrador" para la cuenta de Administrador.

      Aprobar o introducir la contraseña.

      Esto se configura con el "comportamiento del indicador de elevación para los usuarios estándar". Si se configura para pedir credenciales, cada vez que un usuario estándar necesite realizar una acción con privilegios deberá introducir la contraseña de un administrador. Especialmente útil para no tener que realizar los viejos trucos de XP con el fin de elevar privilegios. Esto, unido a la capacidad de detectar qué programas requieren privilegios y cuáles no, es lo que acerca a Vista y 7 al mundo de gestión multiusuario de Mac OS o GNU/Linux.

      Todos estos cambios pueden realizarse en el registro o desde la consola de modificación de políticas, y ayudan a aprovechar realmente UAC. Windows 7, tras la desastrosa experiencia, ha limitado el número de acciones que necesitan de elevación de privilegios, y además, eliminado el modo de aprobación para el primer usuario, en un intento de contentar a todo sus clientes.

      Si bien UAC no es ninguna panacea (como no lo es ninguna solución de seguridad por sí misma) usado junto a un usuario estándar, resulta muy útil. Microsoft no se atreve todavía a dar el salto y a obligar al uso de cuentas limitadas, sin embargo, parece que tarde o temprano tendrá que hacerlo. Y solo entonces los usuarios deberán aprender a moverse en el entorno limitado en el que siempre debieron hacerlo.

      Fuente: Hispasec - Seguridad Informática

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.