Conceptos básicos sobre User Account Control

 

Hola,

Somos Paula Tomás y Yolanda Muñoz del grupo de Plataformas para Directorio Activo. En esta ocasión nos gustaría comentar el comportamiento general sobre la funcionalidad introducida en los Sistemas Operativos Windows desde Windows Vista llamada UAC (User Account Control).  

 

Información general sobre UAC (User Account Control)  

UAC es un componente de seguridad incluido en el Sistema Operativo a partir de Windows Vista. 

 

El objetivo de UAC (User Account Control) es minimizar el uso de “privilegios de administración” por parte de los “usuarios estándar” en los equipos. De esta manera, evitamos modificaciones del sistema operativo que puedan dar lugar a un comportamiento no esperado. Las ventajas principales de trabajar con los privilegios de usuario estándar por defecto, son reducir el número de llamadas al help desk, así como minimizar el impacto de virus o malware, por ejemplo. 

 

Así, durante el proceso de logon se genera el token de acceso del usuario. En la generación de dicho token se evalúan los SIDs  y privilegios, de manera que  si alguno se considera como “elevado” se produce el split (o “división”) del token. Por una parte, se genera un token para el “usuario estándar” con los SIDs y privilegios, y otro token elevado con todos SIDs y privilegios del usuario. Esta funcionalidad se denomina Protected Admin (PA). Con el Split del token incluso los usuarios con privilegios de administración se comportan por defecto como “usuarios estándar”, si en algún momento se requiere del uso de los privilegios elevados, se presentará al usuario el aviso para utilizar las credenciales administrativas (es decir, el token elevado). 

 

El Split del token se producirá siempre que: 

  • El usuario pertenezca a alguno de los grupos”administrativos”: Domain Admins, Domain Controllers, Power Users, Print Operators, etc.
  • Que el usuario tenga alguno de los privilegios “elevados”: Create a token object, Act as part of the operating system, Debug Programs, Impersonate a client after authentication,etc. 

 

En la siguiente figura se muestra el comportamiento de Protected Admin:  

  

Understanding and Configuring User Account Control in Windows Vista  

clip_image001 

 

Si el usuario que ha iniciado sesión en el equipo es un “usuario estándar” y la aplicación que se está ejecutando necesita privilegios de administrador, el comportamiento por defecto es solicitar al usuario las credenciales para realizar dicha operación. Este mensaje se recibe al instalar o desinstalar una programa, abrir o cambiar la configuración del firewall, modificar la configuración de las directivas de seguridad, configurar el acceso al escritorio remoto, etc. En el caso de los “usuarios estándar” no se produce el split del token ya que dicha cuenta no contiene ninguno de los SIDs o privilegios mencionados anteriormente. 

 

En el caso de los administradores built-in (administrador del equipo y el administrador del dominio) tampoco se produce el split del token ya que estos usuarios no están protegidos por UAC. 

 

Información adicional sobre UAC (User Account Control)    

 En los siguientes enlaces se puede encontrar información adicional referida al comportamiento de UAC:  

What is User Account Control?  

Inside Windows 7 User Account Control   

Getting Started with User Account Control on Windows Vista   

Understanding and Configuring User Account Control in Windows Vista  

922708 How to use User Account Control (UAC) in Windows Vista   

UAC Group Policy Settings and Registry Key Settings   

Windows Vista Application Development Requirements for User Account Control   

 

Sample code is available to show you how to develop programs by using least-privilege administration and UAC. To download this sample code, visit the following Microsoft Web site

Un saludo, Paula y Yolanda