Normalmente
los usuarios de Windows utilizan el sistema como usuarios con privilegios de
Administrador, lo que les da plenos poderes para instalar programas y cambiar
la configuración del sistema. Esto es muy conveniente pero también inseguro: si
el equipo es infectado mientras se es Administrador, el malware tendrá los
mismos privilegios y le será más fácil realizar sus acciones perniciosas. Por
el contrario, si se es usuario Estándar, el malware deberá primero
ingeniárselas para obtener las credenciales de Administrador.
Una investigación realizada por Avecto sobre los parches publicados por Microsoft
en los Patch Tuesday del 2013 demostró el impacto en la seguridad del sistema
que se consigue con remover los privilegios de Administrador de los usuarios.
Según
este estudio simplemente con utilizar Windows como usuario Estándar (no
Administrador) se consigue mitigar:
- El 92% de las vulnerabilidades categorizadas como críticas.
- El 96% de las vulnerabilidades críticas en Windows.
- El 91% de las vulnerabilidades críticas en Office.
- El 100% de las vulnerabilidades críticas del Internet Explorer.
Entonces,
seguir este criterio de mínimo privilegio posible sirve para fortificar nuestro
sistema. Pero ¿cómo lo hacemos?
Partiremos
de un escenario usual:
- Un equipo con Windows 7 y sólo un usuario: Administrador.
La
idea es configurar el sistema con tres usuarios:
- Usuario Administrador.
- Usuario Estándar.
- Usuario Invitado.
Primero
vamos al Panel de Control.
En
la sección Cuentas de usuario y protección infantil, elegimos la opción Agregar
o quitar cuentas de usuario.
Vemos
que existe un único usuario: Samuel. Este tiene privilegios de Administrador y
además no está protegida con una contraseña. Es necesario cambiar esto. Elegimos
Crear una cuenta nueva.
Le
damos un nombre a la cuenta: Admin, como tipo de cuenta elegimos Administrador.
Luego click en Crear cuenta.
Ya
tenemos dos cuentas: Samuel y Admin. Ambas con privilegios de Administrador.
Ahora le quitaremos esos privilegios a la cuenta Samuel para que funcione como
la cuenta Estándar del usuario. Hacemos click en Samuel.
Elegimos
Usuario estándar y luego click Cambiar el tipo de cuenta.
Es
buena idea ponerles contraseñas a ambas cuentas (Administrador y Estándar). Una forma
de recordarlas fácilmente es elegir una palabra para el usuario
Estándar y escoger la inversa para el Administrador. En este
ejemplo utilizaremos “cairo” para el usuario Estándar y “oriac” para el Administrador.
Configurando
la cuenta Samuel ponemos Crear una contraseña.
Escribimos
la contraseña dos veces. En nuestro ejemplo: “cairo”. También podemos poner un
indicio.
Hacemos
lo mismo con la cuenta Admin.
Escogemos
como contraseña la inversa de la contraseña del usuario Estándar: “oriac”. De
esta manera sólo tendremos que recordar una sólo contraseña. Click en Crear
contraseña.
Ahora
nos queda activar la cuenta de Invitado. Con esta habilitaremos el ingreso a
las personas que no tengan una cuenta y al mismo tiempo protegeremos al equipo
y nuestros datos.
Hacemos
click Activar.
Listo:
tenemos las tres cuentas configuradas: Estándar, Administrador e Invitado.
Recuerden
que todas las acciones y trabajos se deben realizar con la cuenta Estándar,
nunca ingresar con la cuenta Administrador. Sólo si se quiere realizar algún cambio
importante sobre el Windows (sean ustedes o el malware), se les pedirá que
ingresen la contraseña del Administrador.
Así
trabajando con el mínimo privilegio protegeremos nuestro sistema.
Saludos.
No hay comentarios:
Publicar un comentario