Windows UAC. El Control de Cuentas de Usuario

El Control de Cuentas de Usuario de Windows (UAC). Qué es y Cómo Funciona

Muy buenas lector! Este es un artículo divulgativo en el que quiero profundizar un poco sobre UAC, el control de cuentas de usuario de Windows, que pese a lo molesto que les pueda parecer a algunos usuarios, es una parte integral del modelo de seguridad de Windows.

UAC apareció por primera vez en Windows Vista, y no precisamente desapercibido. Muchos usuarios lo encontraron como un sistema de aviso innecesario, delante de acciones que previamente ellos habían manifestado la intención de realizar. Pero detrás de esta apariencia, se esconde mucho más que eso. Lo vemos en las próximas líneas.

En este post verás:

  1. ¿Como nace UAC? Un poco de historia
  2. ¿Qué es UAC y como funciona?
  3. UAC no es una barrera infranqueable, pero si un aliado imprescindible
  4. En la segunda parte

¿Como Nace UAC? Un Poco de Historia

Windows XP

En Windows XP (que lejos queda, ¿eh?), era perfectamente posible crear una sola cuenta de Administrador, y usarla como tu cuenta de usuario para todo.

Evidentemente, se podía optar por crear una cuenta de Administrador, reservada únicamente para tareas administrativas del sistema, y otra cuenta estándar para todo lo demás, pero digamos que no era la práctica mayoritaria.

GNU/Linux

Una de las características más palpables del modelo de seguridad de GNU/Linux ha sido históricamente su clara separación entre cuentas de administrador o superusuario y cuentas estándar.

Mientras que en Windows XP, esta separación la podías hacer tu si querías, o tenías la precaución de hacerlo, en GNU/Linux ha sido algo inherente al propio sistema. En el mismo proceso de instalación, el sistema ya te conduce a operar con cuentas separadas.

Hay distribuciones en las que el usuario root es accesible por el propio usuario, y las hay que prefieren deshabilitar root, y permitir que el usuario estándar pueda realizar acciones de superusuario a través de sudo.

Windows Vista

Conscientes de esta y otras muchas deficiencias de seguridad de XP, en Windows Vista se quiso hacer una apuesta seria hacía la seguridad.

Posiblemente, en Microsoft pensaron que obligar al usuario a crear una cuenta con permisos de Administrador, y otra estándar hubiese podido no ser del agrado de todo el mundo, por lo que decidieron ingeniar otra solución.

Esta solución se denomina UAC, de User Account Control. Pero su funcionamiento no fue comprendido por todos en un buen principio. ¿Qué es ese molesto promp que me pide confirmación para cada una de las acciones que realizo? Esto fue la percepción de mucho usuarios, pero la filosofía detrás de UAC es otra, como verás más adelante.

Windows 7 a Windows 10

Para intentar dar una respuesta a las críticas recibidas, Windows 7 aprovecha la base de Windows Vista, pero intentar adoptar un funcionamiento algo más amigable de cara al usuario.

De este modo, se estableció una escala de 4 valores de paranoia/permisividad elegidos por el usuario. Esto permitió, no solo que el usuario pueda establecer el nivel en el que se siente más cómodo/seguro, sino que, por defecto, el nivel de permisividad fuera, de por si, algo mayor que en vista.

Pero como se ha demostrado, lejos de desaparecer, UAC se ha consolidado como una parte integral de Windows.

Qué es UAC y Como Funciona?

El objetivo que persigue UAC no es otro que el de asegurar que los privilegios de una cuenta están protegidos por el sistema operativo, sin depender que el usuario haga una separación de cuenta de administrador y cuenta de usuario estándar.

Con esta implementación, digamos que se consiga que una cuenta de administrador, que es la primera cuenta que se crea, y con la que se quedan la mayoría de usuarios para la totalidad de sus tareas, no esté tan “desnuda” como en Windows XP.

Los Tokens de Acceso

Es decir, ya que la separación de cuentas podría suponer cierto engorro para el usuario, y es una decisión que, hoy por hoy, depende de él, en Windows no solo se hace una distinción entre cuenta administrativa y estándar, sino que se hace una separación de funciones.

Esto se consigue al trabajar con los denominados “access tokens”. Estos controlan el acceso a los recursos a que puede acceder el usuario, así como las tareas que puede realizar.

Cuando un usuario Administrador hace log-in en Windows, al usuario se le asignan dos tokens de acceso diferentes:

  • Access token con acceso administrador completo
  • Access token de usuario estándar

Por defecto, el usuario funciona con el token de usuario estándar. Esto le impide realizar tareas con permisos elevados, como instalar o desinstalar aplicaciones, deshabilitar el antivirus, o cambiar la configuración del cortafuegos, por poner solo algunos ejemplos.

Al intentar acceder a un recurso, o realizar una tarea que requiere el token de administrador, es cuando se invoca el token de administrador, y el usuario visualiza el famoso promp por pantalla. Este es el proceso de consentimiento.

El Consentimiento

El aviso o promp que se muestra, es el que permite consentir la opción, haciendo un salto de token. Pero no debes verlo solamente como un aviso para confirmar una acción que has realizado tu mismo previamente.

Windows UAC. Aviso

Esto es extensible a todos los procesos del sistema. Si una aplicación de dibujos, por poner un ejemplo, intenta, en un momento determinado, modificar una regla del cortafuegos (acción que requiere privilegios elevados), el sistema no va otorgarle el token con permisos de administrador sin nuestro previo consentimiento.

En este punto, UAC te alertará automáticamente de tal intento mediante un promp. Aquí, tu tienes la oportunidad, de aceptar o denegar el acceso. El usuario puede muy bien ser Administrador, pero si la aplicación no se ejecuta con el token adecuado, no será capaz de realizar tareas que requieran permisos elevados.

UAC No Es una Barrera Infranqueable, Pero Si Un Aliado Imprescindible

Desde Windows 7, UAC está configurada de forma predeterminada con el nivel 3 de la escala, quedando aún un 4 nivel, el de máxima restricción, que es el que adoptaba Vista.

Esto ha hecho que, de por si, el UAC que se presento en Windows 7 (y que tenemos ahora en Windows 10), sea algo más permisivo que el original, y también más inseguro.

De hecho, son frecuentes las pruebas de concepto que van apareciendo y que tratan de franquear en cierta manera el funcionamiento de UAC en este nivel de seguridad con que viene por defecto. Muchas de ellas aprovechando justamente la función de autoelevación o autoElevate presente en este nivel de protección.

En el Próximo Post…

Como ves, este post ha sido meramente divulgativo. En la segunda parte, te contaré con más detalle como puedes ajustar la configuración básica de UAC.

Verás como ajustar su nivel de paranoia/permisividad, así como toquetear otros parámetros más avanzados, como hacer que, en el mismo promp, debas indicar tu contraseña de usuario (algo parecido a  Sudo y Gksudo en GNU/Linux.

Anuncios

Publicado por

Oriol

Soy un chico de Barcelona. Estoy aquí para compartir mis Hobbies e intentar aportar mi granito de arena a todos aquellos usuarios interesados en el mundo de la informática, internet y las tecnologías de la información en general.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s