Descripción del control de cuentas de usuario y las restricciones remotas en Windows Vista

En este artículo se describen el Control de cuentas de usuario (UAC) y las restricciones remotas.

Se aplica a: Windows Vista
Número de KB original: 951016

Introducción

El Control de cuentas de usuario (UAC) es un nuevo componente de seguridad de Windows Vista. UAC permite a los usuarios realizar tareas diarias comunes como no administradores. Estos usuarios se denominan usuarios estándar en Windows Vista. Las cuentas de usuario que son miembros del grupo de administradores locales ejecutarán la mayoría de las aplicaciones mediante el principio de privilegios mínimos. En este escenario, los usuarios con privilegios mínimos tienen derechos similares a los derechos de una cuenta de usuario estándar. Sin embargo, cuando un miembro del grupo administradores local tiene que realizar una tarea que requiere derechos de administrador, Windows Vista solicita automáticamente al usuario la aprobación.

Funcionamiento de las restricciones remotas de UAC

Para proteger mejor a los usuarios que son miembros del grupo de administradores local, implementamos restricciones de UAC en la red. Este mecanismo ayuda a evitar ataques de bucle invertido . Este mecanismo también ayuda a evitar que el software malintencionado local se ejecute de forma remota con derechos administrativos.

Cuentas de usuario locales (cuenta de usuario del Administrador de cuentas de seguridad)

Cuando un usuario que es miembro del grupo administradores local en el equipo remoto de destino establece una conexión administrativa remota mediante el comando net use *\\remotecomputer\Share$ , por ejemplo, no se conectará como administrador completo. El usuario no tiene ningún potencial de elevación en el equipo remoto y el usuario no puede realizar tareas administrativas. Si el usuario quiere administrar la estación de trabajo con una cuenta de Administrador de cuentas de seguridad (SAM), el usuario debe iniciar sesión interactivamente en el equipo que se va a administrar con Asistencia remota o Escritorio remoto, si estos servicios están disponibles.

Cuentas de usuario de dominio (cuenta de usuario de Active Directory)

Un usuario que tiene una cuenta de usuario de dominio inicia sesión de forma remota en un equipo Windows Vista. Además, el usuario del dominio es miembro del grupo Administradores. En este caso, el usuario de dominio se ejecutará con un token de acceso de administrador completo en el equipo remoto y UAC no estará en vigor.

Nota:

Este comportamiento no es diferente del comportamiento de Windows XP.

Cómo deshabilitar las restricciones remotas de UAC

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para deshabilitar las restricciones remotas de UAC, siga estos pasos:

  1. Haga clic en Inicio y en Ejecutar, escriba regedit y presione ENTRAR.

  2. Busque la siguiente subclave del registro y haga clic en ella:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Si la LocalAccountTokenFilterPolicy entrada del Registro no existe, siga estos pasos:

    1. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.
    2. Escriba LocalAccountTokenFilterPolicy y presione ENTRAR.
  4. Haga clic con el botón derecho en LocalAccountTokenFilterPolicy y, a continuación, seleccione Modificar.

  5. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

  6. Salga del Editor del Registro.

¿Se ha corregido el problema?

Compruebe si se ha solucionado el problema. Si el problema no se ha corregido, póngase en contacto con el soporte técnico.

Configuración remota de UAC

La entrada del Registro LocalAccountTokenFilterPolicy puede tener un valor de 0 o 1. Estos valores cambian el comportamiento de la entrada del Registro a la que se describe en la tabla siguiente.

Valor Descripción
0 Este valor compila un token filtrado. Es el valor predeterminado. Se quitan las credenciales de administrador.
1 Este valor crea un token con privilegios elevados.