Es normal y comun tener una computadora con varias cuentas de usuario ya sea en la casa o en la oficina. Y aun mas que las cuentas esten divididas por privilegios.
- Administrador: Persona que tiene acceso total al sistema y puede agregar y quitar programas - cuentas de usuario - restricciones de acceso, etc.
- Limitado o Estandar: Persona que tiene acceso limitado al equipo, comunmente pueden navegar por internet, apagar y reiniciar el equipo, guardar y editar sus documentos, etc.
Cuando los usuarios estandar o limitados quieren realizar cambios significativos en el equipo como instalar programas o ciertas configuraciones se topan con el problema de no poder realizar lo deseado. Y esto es debido al tipo de cuenta que tienen asignada al equipo.
Algo que muy pocos usuarios saben es que sin importar lo limitada que este la cuenta de usuario, este ultimo puede elevar sus privilegios solo usando el sentido comun para buscar la forma. Y quiero dejar en claro que en internet existen muchos metodos para poder realizarlo.
Un ejemplo claro es que alla por el año 2010 salio un exploit para Windows 7 (Aunque afecta Win XP, Vista, 7) que permite que un usuario estandar eleve sus privilegios al maximo con solo escribir unas cuantas lineas en el simbolo del sistema.
Y una vez elevados los privilegios al maximo el usuario puede realizar lo que quiera con la computadora.
Pero, ¿Como evitarlo?
Sin mencionar que es necesario activar las actualizaciones de Windows debo comentar que impedir el acceso al panel de control y al simbolo del sistema es algo vital e importante.
Comunmente las herramientas existentes para brincar la seguridad y elevar privilegios requieren de acceso a estas dos areas del sistema operativo.
Apartir de Windows XP Service Pack 2 existe algo llamado "Directivas de grupo local" que permite crear directivas de seguridad o tambien conocidas como GPO's.
Una GPO es una configuracion de seguridad que limita la capacidad de los usuarios en el equipo. Se puede no solo impedir el acceso al simbolo del sistema y al panel de control si no tambien se pueden especificar otras acciones.
- Que su contraseña caduque
- Que no pueda apagar el equipo
- Que su contraseña se cambie todos los dias
- Que no pueda instalar programas
Solo por mencionar algunos.
El dia de hoy mostrare como editar dos GPO's para asi evitar que el usuario tenga acceso al panel de control y al simbolo del sistema.
Es importante dejar en claro que como administradores tampoco podremos tener acceso a estas areas debido a que las GPO's se configuran de forma local, si trabajaramos en un Windows Server con un dominio las gpo's se podrian configurar a usuarios o grupos de usarios especificos pero esta es otra historia.
Mas esto no importa al 100 % ya que siendo administradores si queremos tener acceso de nuevo a estas areas solo basta con eliminar la configuracion que haremos de la GPO (Que por cierto no es nada dificil).
- Inicio
- Ejecutar
- Escribir gpedit.msc
- Clic en Aceptar O Enter
Pantalla Principal
Del panel izquierdo en el area de "Configuracion del usuario"
- Clic en Plantillas de Administrativas
- Panel de Control
- Doble Clic en "Prohibir Acceso al Panel de Control"
En esta area se nos mostrara una ventana con la explicacion de la directiva y de la accion a realizar.
Simplemente damos clic en "Habilitada" "Aplicar" "Aceptar"
Intentamos tener acceso al panel de control y recibimos un mensaje de restriccion.
La configuracion para impedir el acceso al simbolo del sistema se encuentra en:
- Plantillas Administrativas
- Sistema
- Impedir acceso al simbolo del sistema
El procedimiento es el mismo doble clic - habilitada - aplicar - aceptar (Tal y como impedimos el acceso al panel de control).
Y cuando queremos abrir el simbolo del sistema nos topamos con el siguiente mensaje.
Cosa que al presionar cualquier tecla el simbolo de sistema se cierra.
Por ultimo quiero comentar que si se desea eliminar las GPO creadas solo basta con ir al lugar donde se configuraron y regresar la configuracon de "Habilitada" a "No configurada"
Aplica para:
- Windows XP SP2
- Windows Vista
- Windows 7
- Windows 8
- Windows Server 2003, 2008, 2012