Control de cuentas de usuario en Windows

Control de cuentas de usuario (UAC) es una característica de Windows que le ayuda a controlar el equipo informándole cuando un programa realice un cambio que requiera permiso de nivel de administrador. UAC funciona ajustando el nivel de permiso de su cuenta de usuario. Si realiza tareas que se pueden llevar a cabo como usuario estándar (por ejemplo, leer correo electrónico, escuchar música o crear documentos), tendrá los permisos de un usuario estándar, aunque haya iniciado sesión como administrador.

Cuando se vayan a realizar cambios en el equipo que requieran permiso de nivel de administrador, UAC se lo notificará. Si es administrador, haga clic en Sí para continuar. Si no es administrador, alguien con cuenta de administrador en el equipo tendrá que escribir su contraseña para continuar. Si da permiso, se le concederán temporalmente los derechos de un administrador para llevar a cabo la tarea y posteriormente sus permisos volverán a ser los de un usuario estándar. Esto se hace de tal forma que incluso si usa una cuenta de administrador, no se podrán realizar cambios en el equipo sin que usted lo sepa, lo que ayuda a impedir que se instale software malintencionado (malware) y spyware, o que estos programas realicen modificaciones en el equipo.

Cuando es necesario un permiso o una contraseña para completar una tarea, UAC le advierte con uno de los cuatro tipos de cuadro de diálogo que se describen a continuación. En la tabla siguiente se describen los distintos tipos de cuadro de diálogo usados como notificación y se ofrecen instrucciones para responder a las notificaciones.

‎La mayoría de las veces es recomendable iniciar sesión en el equipo con una cuenta de usuario estándar. De esta manera se puede explorar Internet, enviar mensajes de correo electrónico y usar un procesador de textos sin tener que usar una cuenta de administrador. Cuando se desea ejecutar una tarea administrativa, como instalar un nuevo programa o cambiar una configuración que puede afectar a otros usuarios, no es necesario cambiar a una cuenta de administrador; Windows le pedirá permiso o una contraseña de administrador antes de ejecutar la tarea. También es recomendable crear cuentas de usuario estándar para todas las personas que utilicen el equipo.

Control de cuentas de usuario (UAC) es un nuevo componente de seguridad que ayuda a evitar que programas malintencionados, a veces denominados «malware», dañen un sistema, a la vez que ayudan a las organizaciones a distribuir un escritorio mejor administrado.

Con UAC, las aplicaciones y las tareas siempre se ejecutan en el contexto de seguridad de una cuenta que no sea de administrador, a menos que un administrador autorice específicamente el acceso de nivel de administrador al sistema. UAC detiene la instalación automática de aplicaciones no autorizadas y evita cambios por error a la configuración del sistema.

¿Cómo funciona UAC?

Hay dos niveles de usuarios: usuarios estándar y administradores. Los usuarios estándar son miembros del grupo Usuarios y los administradores son miembros del grupo Administradores del equipo.

Cuando cualquier usuario inicia una sesión en un equipo, el sistema crea un token de acceso para dicho usuario. Este token de acceso contiene información acerca del nivel de acceso que se le concede al usuario, incluyendo identificadores de seguridad específicos (SID) y privilegios de Windows. Cuando un administrador inicia una sesión, Windows crea dos tokens de acceso independientes para el usuario: un token de usuario estándar y un token de acceso de administrador. El token de acceso de usuario estándar contiene la misma información específica de usuario que el token de acceso de administrador pero se han quitado los privilegios de Windows administrativos y los SID. El token de acceso de usuario estándar se utiliza para iniciar aplicaciones que no realizan tareas administrativas («aplicaciones de usuario estándar»).

Cuando el administrador tiene que ejecutar aplicaciones que realizan tareas administrativas («aplicaciones de administrador»), esta versión de Windows pide a los usuarios que cambien o «eleven» su contexto de seguridad de un usuario estándar a un administrador. Esta experiencia de usuario de administrador predeterminado se denomina Modo de aprobación de administrador. En este modo, las aplicaciones requieren permiso específico para ejecutarse como aplicación de administrador (una aplicación que tiene el mismo acceso que un administrador).

Cuando se está iniciando una aplicación de administrador, aparece un mensaje de Control de cuentas de usuario de manera predeterminada. Si el usuario es un administrador, el mensaje da la opción de permitir que se inicie la aplicación o de evitar que se inicie. Si el usuario es un usuario estándar, puede especificar el nombre de usuario y la contraseña de una cuenta que es miembro del grupo Administradores local.

Algunos motivos por los que hoy en día las empresas funcionan con usuarios administradores::

• Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones): Muchas empresas no disponen de un método centralizado de implementación de aplicaciones para los usuarios, como por ejemplo, Microsoft Systems Management Server (SMS), la Directiva de grupo de Instalación de software (GPSI) u otra tecnología de implementación de aplicaciones similar. Las empresas que sí usan tecnologías de implementación de software permiten que los usuarios se ejecuten como administradores debido a instalaciones de aplicaciones ad hoc específicas para departamentos específicos (por ejemplo, una aplicación de hojas de cálculo personalizada para el departamento de marketing).
• Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus requisitos de negocio específicos. Muchas de estas aplicaciones personalizadas incorporan un front-end de explorador web que requiere un control ActiveX para poder instalarse. Dado que los controles ActiveX son archivos ejecutables y pueden contener malware, Windows impide que los miembros del grupo usuarios puedan instalarlos.
• TCO inferior percibido (menos llamadas a soporte técnico frente a menor superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico. Sin embargo, operar en las estaciones de trabajo como administrador también hace que la red sea más vulnerable a «malware» (el término que engloba todo el software malintencionado, incluyendo virus, caballos de Troya, spyware y cierto adware. El malware puede explotar el acceso de nivel de sistema de una cuenta de administrador local para dañar archivos, cambiar configuraciones del sistema e incluso transmitir datos confidenciales fuera de la red. Enlaces externos.