Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User  Account Control), ha sido especialmente criticada y rechazada por la  mayoría de los usuarios. Sin embargo, si se presta un poco de atención,  se puede usar UAC como un gran adelanto en la seguridad y comodidad de  Windows. Microsoft ha dado un paso interesante en la dirección correcta  con UAC, pero los usuarios que se empeñan en usar el administrador no  han sabido valorarlo. UAC es un incomprendido porque en realidad, hay  que entenderlo como una bendición para los que usan una cuenta limitada  en Vista y 7. Un complemento ideal para lo que sigue siendo la mejor  defensa: evitar el uso del administrador.

El qué y el porqué del UAC

Microsoft no tenía ningún control de usuario real para su gama de  escritorio hasta Windows XP. Su introducción supuso un enorme paso  adelante para la seguridad. Utilizar Windows XP en modo usuario estándar  era, por fin, el mejor antídoto contra el malware y todo tipo de  amenazas. Pero de nada sirvió. Por miedo a que los usuarios (después  de años de MS-DOS, 3.11 y 9x) no supieran lidiar con NTFS, permisos,  derechos y privilegios, decidió que usar la cuenta de administrador todo  el tiempo era lo “menos malo”. Sacrificaron todas las mejoras que ellos  mismos habían introducido con tal de que se entendiera su flamante  sistema operativo. Los programadores se relajaron entonces, y dieron por  hecho que el usuario debía ser administrador, y no se preocuparon por  comprobar dónde podían escribir, a qué zonas del sistema podían acceder,  etc. De hecho, pocos son los virus que se preocupan hoy en día de si  pueden escribir o no en “system32″, zona favorita donde se esconde  la inmensa mayoría del malware actual. Si el usuario no fuese  administrador, esa inmensa mayoría del malware no sería hoy efectiva,  porque no serían capaces de escribir archivos donde presuponen que  pueden.

Así que XP permitía protegerse con el usuario estándar, pero muchos  lo ignoraban y además era incómodo. Microsoft no ofrecía ninguna  herramienta realmente cómoda para que un “loco” que decidiera usar  su Windows como debe ser, desde una cuenta sin privilegios, pudiera  administrar de forma sencilla su equipo. Todo tipo de trabas en los  programas y en la propia interfaz hacía que muchos de los intentos por  migrar hacia un usuario raso fracasaran. Algo había que hacer, y con  la introducción de Vista era el momento adecuado.

Un cambio a medias

Con Vista, Windows podría haber tomado un rumbo radicalmente distinto (y  a la vez, igual a la de cualquier otro sistema operativo): obligar a que  la primera cuenta de usuario creada cuando se instala el sistema (la que  todo el mundo usa habitualmente) fuera de usuario raso. Pero no. Sería  demasiado chocante, así que decidió introducir un paso intermedio, el  UAC. En pocas palabras, se trata de una pantalla de protección contra  las acciones potencialmente peligrosas para el usuario, incluso si eres  el administrador. Técnicamente hablando, es un concepto extraño.

En XP, un usuario que se presenta en el sistema, tiene un token de  seguridad. Este token puede ser básicamente de administrador (puede  hacer lo que quiera) o de usuario estándar (se ve limitado para escribir  en ciertas zonas del sistema, o para realizar ciertos cambios). En Vista  por el contrario, cuando un administrador inicia sesión se le conceden  dos: uno de administrador real y otro de usuario estándar (sí, aunque se  sea administrador). Por defecto, se usa el token de usuario estándar  para arrancar la mayoría de programas, y esto es estupendo desde el  punto de vista de la seguridad. Para realizar las acciones que requieren  elevar privilegios, se usa el token de administrador, y es en este paso  donde interpone el UAC. El usuario es consciente de cuándo se están  realizando acciones peligrosas y debe o bien proporcionar consentimiento  o bien introducir sus credenciales.

O sea, Vista prácticamente obliga al usuario a tener pocos privilegios  aunque pertenezca al grupo de administradores. Pero a muchos usuarios  les gusta ser “poderosos”, no les apetece responder constantemente a  preguntas de si realmente quieren o no realizar tal o cual acción, así  que ante la incomodidad terminan por desistir. El usuario echa de menos  al todopoderoso administrador del XP, y por eso UAC ha resultado un  estorbo para la mayoría.

Sin embargo, UAC es una herramienta excelente para quien usa Vista como  usuario estándar. UAC es lo que todo usuario de XP que lo utilizaba con  una cuenta limitada estaba esperando: una forma cómoda de mantener el  sistema protegido.

De cómo configurar UAC de forma útil hablaremos en la siguiente entrega.

Opina sobre esta noticia:
http://www.hispasec...aaldia/4040/comentar

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://hispasec.com

Entradas relacionadas

1. Mitos y leyendas: UAC, ese gran incomprendido III (UAC y la ley del mínimo privilegio)
2. Microsoft admite que Windows Vista no fue lo suficientemente bueno
3. Windows ReadyBoost acelera tu Vista
4. Windows 7 y su nuevo control de cuentas de usuario
5. “Pantallazo azul” (BSOD) en Windows Vista y 7 a través de unidades compartidas