Gestión de privilegios

En esta sección:

Acerca de la gestión de privilegios

La Gestión de privilegios permite a los departamentos de TI de la empresa reducir los privilegios de control de acceso por usuario, grupo, aplicación o regla de empresa. Garantiza que los usuarios solo tengan los derechos que necesitan para cumplir con su trabajo y acceder a las aplicaciones y controles que necesitan, y nada más, de este modo se asegura la estabilidad del escritorio y mejora la seguridad y la productividad.

Con la Gestión de privilegios, el acceso a las aplicaciones y a las tareas se gestiona de manera dinámica administrando los privilegios de usuarios bajo de manda, como respuesta a las acciones de los usuarios. Por ejemplo, los privilegios del administrador se pueden aplicar a una aplicación nombrada o al componente del Panel de control para un usuario determinado o un grupo de usuarios, bien elevando los privilegios de un usuario estándar a un nivel de administrador o reduciendo los privilegios de un administrador a los de una cuenta de usuario estándar.

La Gestión de privilegios le permite crear políticas de gestión de privilegios reutilizables que se pueden asociar con conjuntos de reglas y pueden elevar o restringir el acceso a archivos, carpetas, unidades, hashes de archivos y componentes del panel de control compatible específicos de un sistema operativo.

La Gestión de privilegios le permite aplicar el principio de menos privilegio. Este principio requiere que los usuarios dispongan de los privilegios mínimos para llevar a cabo su trabajo, sin darles privilegios de administrador completos. La experiencia es fluida para el usuario.

Tareas comunes que requieren privilegios administrativos

Para desempeñar sus funciones, los usuarios pueden tener que realizar una serie de tareas que requieren privilegios administrativos. Debe proporcionarse una solución que permita realizar estas tareas, de lo contrario, el usuario deberá desempeñar su función sin realizar estas tareas específicas. Estas tareas pueden incluir:

  • Instalar impresoras
  • Instalar determinado hardware
  • Instalar aplicaciones concretas
  • Operar aplicaciones que requieren privilegios administrativos
  • Cambiar la hora del sistema
  • Ejecutar aplicaciones de legado

La gestión de privilegios permite al usuario llevar a cabo estas tareas elevando a un usuario para que tenga privilegios administrativos específicos.

Gestión de privilegios vs Ejecutar como

Muchos usuarios, especialmente los trabajadores del conocimiento, utilizan el comando Ejecutar como para ejecutar aplicaciones. Los usuarios pueden llevar a cabo sus tareas diarias con menos privilegios pero también pueden, en caso necesario, utilizar el comando Ejecutar como para elevar sus credenciales, por lo tanto, llevando a cabo una tarea bajo el contexto de un usuario distinto. No obstante, esto requiere que un usuario tenga dos cuentas: una para el menor número de privilegios y otra para la elevación.

Un problema común cuando se utiliza Ejecutar como es permitir que la contraseña administrativa se conozca en toda una empresa. Por ejemplo, un administrador puede comunicar la contraseña del administrador a un usuario para permitirle utilizar el comando Ejecutar como para solucionar un problema con su equipo. Por desgracia, la contraseña se suele pasar a otros usuarios, lo que provoca riesgos de seguridad imprevistos.

Un problema adicional de Ejecutar como es cómo interactúa el software con él. Ejecutar como ejecuta una aplicación o proceso bajo el contexto de un usuario distinto. Por tanto, esa aplicación o proceso no tiene acceso al hive HKEY_CURRENT_USER correcto del registro.

Este hive es dónde se almacenan todos los datos del perfil y es un espacio protegido. La aplicación o el proceso que se ejecuta en el contexto de un usuario distingo no puede leer ni escribir en esta fuente, lo que provoca que más aplicaciones no funcionen. La ejecución en el contexto de un usuario distinto también puede provocar problemas de lectura y escritura a una red compartida. Esto se debe a que las redes compartidas se basan en la cuenta del contexto que está utilizando. Por lo que es posible que la cuenta local y la cuenta Ejecutar como no tengan el mismo acceso a los recursos.

Ejecutar como y UAC

Algunos sistemas operativos tienen funciones que permiten al usuario ejecutar aplicaciones o procesos sin privilegios administrativos. Estos son el comando Ejecutar como y el Control de cuentas de usuarios (UAC, por sus siglas en inglés).

Aunque estas funciones permiten a los usuarios funcionar sin privilegios administrativos, siguen necesitando que el usuario tenga acceso a una cuenta de administrador para llevar a cabo tareas administrativas. Por desgracia, este límite significa que las funciones son más adecuadas para administradores. Les permite iniciar sesión como usuario estándar y utilizar la cuenta del administrador para llevar a cabo solo tareas administrativas.

Como el usuario debe proporcionar las credenciales para que un administrador local utilice Ejecutar como y UAV, esto crea una serie de problemas. Por ejemplo:

  • Un usuario con acceso a una cuenta de administrador debe tener la confianza para no abusar de estos privilegios.
  • Las aplicaciones que se ejecutan con privilegios administrativos ahora se ejecutan en el contexto de un usuario distintos. Esto puede causar problemas, por ejemplo, estas aplicaciones en concreto no tienen acceso al perfil del usuario actual o a las redes compartidas, como se establece en Gestión de privilegios vs. Sección Ejecutar como.
  • Son necesarias dos contraseñas. Uno para la cuenta estándar y otro para la cuenta del administrador. El usuario debe recordarlas ambas. La seguridad necesaria para una cuenta es complicada y más para dos cuentas.

Tecnología

En un entorno informático de Microsoft Windows, como parte del proceso de inicio de la aplicación, cuando se realiza una solicitud de ejecución, la aplicación solicita un token como parte del proceso de aprobación de inicio de aplicaciones. Este token detalla los derechos y permisos que se dan a la aplicación y estos derechos se pueden usar para interactuar con el sistema operativo u otras aplicaciones.

Cuando se configura la Gestión de privilegios para que administre una aplicación, el token de seguridad que se solicita se modifica dinámicamente para que tenga permisos elevados o restringidos y, de este modo, permita que la aplicación se ejecute o se bloquee.

  1. El mecanismo de Gestión de derechos de usuarios se encarga de las solicitudes de inicio del proceso de la siguiente manera:
    • La Política de derechos del usuario se define en la regla de configuración y se aplica a aplicaciones o componentes.
    • La lista de aplicaciones puede incluir archivos, carpetas, firmas o grupos de aplicaciones.
  2. La lista de componentes puede incluir componentes del panel de control.
  3. Cuando se crea un proceso mediante el inicio de una aplicación u otro ejecutable, el gancho de Control de aplicaciones intercepta el proceso y las consultas del agente de Control de aplicaciones, independientemente de que los derechos sean elevados o restringidos sea necesarios para ejecutar el proceso.
  4. El agente confirma si la configuración asigna derechos elevados o restringidos y, en caso necesario, el agente solicita un token de usuario modificado desde la Autoridad de seguridad local de Windows (LSA, por sus siglas en inglés).
  5. El gancho recibe el token del usuario modificado desde el LSA de Windows otorgándole los privilegios necesarios. En caso contrario, el proceso se ejecuta con el token del usuario existente, de acuerdo con las definiciones de los derechos del usuario normales.

Beneficios de la gestión de privilegios

Los principales beneficios de la gestión de privilegios son:

  • Elevación de privilegios de usuarios para ejecutar aplicación: utilice la gestión de privilegios para especificar las aplicaciones que se ejecutarán con credenciales administrativas. El usuario no tiene credenciales administrativas pero puede ejecutar la aplicación.
  • Elevación de los privilegios del usuario para Ejecutar los complementos del panel de control: muchos usuarios de roaming necesitan llevar a cabo varias tareas que requieren privilegios administrativos. Por ejemplo, para instalar impresoras, para cambiar la configuración de red o del cortafuegos, para cambiar la hora y la fecha y para agregar y eliminar programas. Todas estas tareas requieren determinados componentes que se deben ejecutar como administrador. Utilice la Gestión de privilegios para elevar los privilegios de componentes individuales para que el usuario estándar no administrativo pueda realizar los cambios para llevar a cabo su tarea.
  • Reducir privilegios para restringir los privilegios de la aplicación: por defecto, los usuarios tienen determinadas credenciales de administración pero se fuerzan a ejecutar aplicaciones específicas sin ser administrador. Ejecutando determinadas aplicaciones como un administrador, por ejemplo, Internet Explorer, el usuario puede cambiar muchos ajustes no deseables, instalar aplicaciones y abrir potencialmente el escritorio a Internet. Use la Gestión de privilegios para restringir que un usuario con nivel de administrador ejecute, por ejemplo, Internet Explorer en un modo de usuario estándar, y así salvaguardar el escritorio.
  • Reducir privilegios para restringir el acceso a los ajustes del sistema: utilice la Gestión de privilegios para dar a un administrador de sistema de más nivel la capacidad de evitar que un usuario administrativo pueda alterar los ajustes que no deberían, por ejemplo, cortafuegos y determinados servicios. Utilice la Gestión de privilegios para reducir los privilegios administrativos para determinados procesos. Aunque el usuario tiene privilegios administrativos, el administrador del sistema mantiene el control sobre el entorno.

Temas relacionados

Gestión de privilegios de los ajustes de configuración

Administración de privilegios de conjuntos de reglas

Colecciones de reglas