La seguridad de Windows 7 sin permisos de administración un 90% mejor
Lo repetimos hasta la saciedad, se lo decimos a nuestros amigos cuando piden consejo, lo murmuramos por las noches antes de acostarnos, lo escribimos distraidamente son el dedo sobre la mesa mientras esperamos que arranque el ordenador… Cuando instales Windows en tu ordenador LO PRIMERO que hay que hacer es crear una cuenta SIN privilegios de administrador para realizar las tareas diarias (navegar por Internet, utilizar herramientas de ofimática, jugar…).
Parece que nadie nos cree, que la comodidad de poder instalar todo lo que descargamos con el navegador o con el Torrent es demasiado atractiva como para molestarnos en hacer una cuenta segura, PERO ENTONCES QUE NADIE SE QUEJE DE LA SEGURIDAD DE WINDOWS. Lo repito una vez más (la ley G de seguridad de S.O.): Windows y cualquier sistema operativo es tan seguro como el grado de sentido común de sus usuarios.
¿A qué viene este desahogo? A que por fin nos han reivindicado con cifras los expertos de seguridad. Utilizar una cuenta sin derechos de administrador mejora un 90% la seguridad de Windows y un 100% la de Office o de IE8 (por lo menos de las vulnerabilidades conocidas). Esta es la conclusión, para mi nada sorpresiva, del estudio realizado por la empresa BeyondTrust.
En realidad las conclusiones del estudio apuntan a que no otorgar privilegios de administrador protege del 90% de las vulnerabilidades críticas de Windows 7, mientras que protege del 57% del total de vulnerabilidades conocidas. También permite evitar el 100% de las vulnerabilidades publicadas de Internet Explorer 8 y en definitiva del 64% de todas las vulnerabilidades reportadas por Microsoft en 2009.
El estudio también refleja la mejora de la seguridad al revocar permisos de administración en otras versiones de Windows. En realidad y tal y como hemos repetido hasta la saciedad, esa es la verdadera finalidad de las cuentas de usuario: otorgar los recursos necesarios a cada persona que utilice el ordenador y no dar acceso a las que en teoría no necesita (eso vale por nosotros mismos). Eso protegerá la integridad del sistema mucho más que cualquier antivirus.
Sabemos que el factor de comodidad es muy importante, que resulta engorroso cambiar de usuario cuando necesitamos instalar una aplicación o modificar la configuración del sistema. Pero por otro lado es un arma poderosa no solamente contra el malware, sino también para garantizar unas buenas prestaciones de nuestro sistema. Nos obligaremos a instalar solamente aquello que necesitemos y no descubriremos con el tiempo aplicaciones o servicios que ni siquiera recordamos para qué servían. Y si esto es importante para el PC de casa, no digamos para el ordeandor de una empresa.
Dicho esto también quiero aclarar que las cifras que hemos publicado proceden de un estudio de una empresa que desarrolla herramientas para administrar cuentas de usuario y retirar privilegios de administrador. Sin embargo y aunque las cifras hubiesen sido exageradas el sentido común nos dice que el mensaje es el correcto.
Related posts:
- ¿Cuál es el Windows más seguro?
- La receta de la seguridad según Microsoft
- ¿Se han convertido los antivirus en un problema de seguridad?
- Microsoft: el ejemplo a seguir en seguridad
- Cómo se diseñó la seguridad de Internet Explorer 8
Excelente entrada, Guillermo.
Por mi parte uso cuenta de usuario estándar desde que salió Vista, escalando privilegios solamente cuando los ocupo.
Todo va viento en popa ahora con Windows 7, y siempre con el UAC al máximo nivel. Tengo activado el DEP para todos los programas, configurado el Firewall de Windows y el antimalware Microsoft Security Essentials.
Por ahí tengo el MalwareBytes, y así como estoy, cero virus, cero problemas, y estoy muy contento. Los antivirus suelen detener malware solamente cuando conecto memorias USB que no son mías, pero con los full scan, nunca encuentro nada.
Es incluso el sistema más usable así (cuenta con privilegios limitados), que te pida la credencial de un Administrador y la contraseña para realizar acciones administrativas o que pudieran comprometer al sistema. Muchos programas nisiquiera pueden funcionar bien si no se ejecutan como admin, o directamente no se ejecutan, cosa que me parece bastante bien.
Además, de esta forma el malware queda imposibilitado para poder escribir en la carpeta Windows y/o Archivos de Programas, dificultando en demacía la instalación de malware.
Muy buen post Guillermo, aunque tampoco es algo que no se supiera. El principal fallo de Windows respecto a las cuentas de privilegios reducidos es que, a diferencia de Linux u otros Unix, Windows no te ogliba a crear y usar una cuenta estandar sin privilegios. En practicamente todos los Unix el sistema lo que crea en la instalación es una cuenta sin privilegios, y luego si quieres hacer cualquier cosa de administrador has de loguearte como root que si tiene privilegios absolutos.
Windows obvia este paso por alguna extraña razón, y esto sumado al comodismo del usuario final da como resultado el uso constante de una cuenta con privilegios de administrador. Si Windows imitase el comportamiento Unix y obligase al usuario a usar una cuenta limitada muchos de los problemas de seguridad de windows se solucionarían mucho antes de siquiera el primer arranque.
lo del 100% se me hace mucho en office le hubieran puesto 99.99999… y a lo mejor les creia, independientemente de eso se me hace extraño que mencionen que se necesita salir de tu cuenta para instalar un programa con privilegios, yo no he tenido problemas con “ejecutar como…” (solo que en win 7 cambiara) y usar una cuenta de administrador aun que debo decir que tengo un cyber y mencionando lo de Garolard si hay una desventaja y es el usuario que no le gusta usar esa cuenta, una vez metio su memoria un cliente pues le daba clic salia el mensaje de permisos de administrador en windows xp para instalar un virus y por supuesto eso no salia en otros lugares y bueno para no hacerla larga me hablo le quise ayudar se enojo que eso no pasaba en otros lugares y se fue y siempre hubo casos similares. XD
como si fuera seguro de todas formas… linux ha sido mejor desde el principio y windows se ha atrasado bastante tratando de ser seguro, no veo porque tanta alegria
¬¬
Por si no sabes (Y como dijo Garolard), los sistemas Unix dejan por defecto una cuenta limitada (O sea con permisos limitados), esa es una de sus fuentes de seguridad más obvias. En Windows, desgraciadamente se crea una cuenta de adminstrador por defecto, y si, esto es un error por parte de Microsoft, pero por eso es q’ desde WinVista existen las cuentas de usuario o UAC.
Además no se está hablando de cual sistema es mejor q’ otro, sino de como optimizarlo para ser más seguro. Apuesto q’ ya sabes de las multiples vulnerabilidades q’ se le han publicado recientemente a Mac OSX, no? Recuerda q’ este S.O es basado en Unix, y como yo ya dije en una ocasión, NINGUN S.O es imposible de hackear…
Por q’ ningún S.O es imposible de hackear? Sencillamente porq’ fue diseñado por un ser humano. Nada más por eso.
Por favor ahorrate la arrogancia -_-#
Pues sí que es mucho más seguro pero muy molesto tener que estar sorteando privilegios de una aplicación a otra de un archivo a otro, una de las cosas que hago al iniciar un Windows nuevo es desactivar totalmente el UAC y quitar toda la seguridad que me pueda brindar este SO (claro que esto solo lo hago con una portátil personal en la que no tengo datos importantes), incluso en fedora entro como root siempre y esto me quita escribir el sudo+pas, vaya que soy vago pero que se me va hacer.
Después de todo tanto yo como la mayoría de usuarios de PC los datos más importantes que hay son contraseñas de algunos foros o e-mail, jajaja ahora sí que no hagan esto en oficina chicos jajaja. Nos vemos
Troll, si que eres vago.
Seguro que no tienes ni un misero antivirus gratuito en Windows y se ve que te gusta estar reinstalando el SO cada dos por tres.
Yo por mi parte cuando instaló un PC con Windows (desde hace varios años) creo varias cuentas:
La de adminstrador con permisos totales y contraseña. Les digo a los dueños del Pc que solo la usen para instalar programas.
Una de usuario limitado normalmente sin contraseña para que nos se calienten la cabeza
Una de administrador con contraseña de la que yo solo se la contraseña para salvarles el culo alguna vez
En XP les era un poco paliza el tener que logearse con el administrador para instalar cosas, pero en Vista y 7, con el UAC activado simplemente les sale el dialogo de usuario y contraseña.
Ademas, les digo que se lo piensen varias veces cuando les sale ese dialogo.
Y finalmente, si hay niños, a los padres les pongo contraseña y a los niños les creo una cuenta sin contraseña de usuario limitado y con el control parental activado.
Pues aun asi, alguna vez he tenido que quitarles virus del ordenador.
Como sabes que no tengo antivirus?, acaso tienes un troyano instalado en mi lap jajajajajaja (buena psicoanalizada), bueno aunque el SO no lo reinstalo tan seguido (una vez al año por cuestión de estabilidad, y el 7 ya voy para año y meses), pero en fin por un lado es la vagancia y por el otro es confianza en mí, porque tengo noción del funcionamiento de un malware y por lo tanto me infecto mucho menos que otros de mis amigos/vecinos, además de que esta lap la uso con pinzas muy aparte del resto de PC de hecho nunca conecto nada al USB ni para cargar los gadgets jajaja (con eso de que ya se puede instalar un hook del teclado vía línea de luz ya ni se sabe jajaja), y si llego a infectarme, o borro el virus o convivo con el jajaja, después de todo no son más que un par más de megas de más en la RAM y uno o dos millones de cálculos más al procesador XXXD.
Ja ja ja
Pareces de verdad un vago…
Pero la verdad es q’ no hay mejor herramienta contra el malware q’ el sentido común, vamos, si hasta el propio WinRAR sirve para detectar algunos virus (Sobretodo en USBs)…
Saludos ^^
es imposible que tengas windows 7 con un año y meses, sin ofender solo que uses pirata, no creo que un virus o un malware solo son un par de megas mas, la mayoria no solo reside en memoria si no el fin que tienen pueden ser peligrosos, por ejemplo de manera rapida imagina uno que fragmente tu disco duro y te lo digo por experienc, otra cosa, yo tengo un antivirus, tengo cuidado con el malware, y aun asi no me siento seguro aparte pues una maquina zombi no es muy agradable que digamos, me recuerda un amigo que dice “hay que saber convivir con lo virus” Xd
Como andas Henry, no es imposible ya has mencionado la forma en que se puede tener jajaja siempre lo menciono cuando preguntan, original para trabajar y pirata para vagar en cuanto a que no te sientes seguro, no te ofendas pero es tu problema, uno muy diferente del mío, ya que al ser programador desde unos años atrás ya me se algunos trukines para ver todos y cada uno de los procesos que corren en mi lap y desde ahora te puedo afirmar que no soy parte de ningún Resident Evil, XXXXD.
Como consejo, vivir en la paranoia total no es vida, Windows es tan o más seguro que cualquier otro SO, claro que la seguridad de cualquier SO es directamente proporcional a la capacidad y conocimiento del usuario, en pocas palabras no ejecutes todo lo que cae de la red (y si lo haces trata de usar Sandboxie o similares, para garantizar tu seguridad), cuida la ejecución de scrips en navegadores (aunque esto puedes dejarlo de lado), ten respaldada y encriptada tu información sensible (de ser posible en otra computadora con un entorno totalmente controlado), y utiliza contraseñas complejas. Si haces estos simples pasos ni dios mismo podrá hackearte.
pues yo creo tener la experiencia (soy programador al igual que tu y me dedico a mantenimiento) para no ser contagiado incluso casi puedo afirmar que no tengo virus pero vamos, un virus “bien hecho” se crea para que no te des cuenta que existe, los rootkit por ejemplo (algunos mañosos), o algunos virus simples pero completos; es mas recordando el mismo amigo que te mencione recibio un ataque de phishing con un simple truquito de cambiar algunas paginas en el hosts por una falsa, y ni se habia dado cuenta, creo que un buen virus hace eso, que no te percates que existe, algo que ya no es tan comun. osea en otras palabras, en este caso como sabes que tienes un virus?, usualmente (por mucho que digas tu “YO” realmente de 100 yo creo hay un “troll” y tal vez es mucho) no te percataras hasta un par de dias o en muchos casos nunca.
De todo lo que mencionas tienes razon, pero como mencionas y mencione depende del usuario pero asi el SO de fabrica sigue siendo un riesgo, y para terminar creo que lo ultimo es exagerado, tengo un compañero de trabajo qu tiene la capacidad de atacarme si lo desea y por supuesto yo tambien a el, pero pues existe el respeto y por mucho que use passwords su windows, su bios pues sabemos saltarlos, como ejemplo.
Si eres programador porque no te sientes seguro? como ya sabrás toda aplicación win 32 (incluidos los virus) , constan (necesitan mejor dicho), de un identificador (AppID), y de un Manejador (Handle), para ejecutarse.
Sabiendo encontrar estos datos con cosas que pueden ir desde una llamada simple a EnumProcesses+complementos hasta cosas tan complejas como inyección de dll o instalación de aplicaciones en ring3, programándote tu propio Task Manager con inspeccionador de clases puedes estar 95% seguro de que no habrá procesos ocultos o desautorizados en tu SO, el 5% restante lo dejo a virus hechos por programadores verdaderamente aterradores que manejan el lenguaje ensamblador como su lengua materna y hacen virus en apenas una sentada frente a un ordenador, virus letales que se ejecutan en ring3, teniendo como única desventaja que tienen que ser programados específicamente para una arquitectura, con lo cual si no soy motivo de su ataque no creo que gasten su tiempo en sacarme las pelis (algunas originales, y otras no jejeje), de mi lap jajjajajaja.
En cuanto al acceso físico de una PC (por lo de tu amigo y tu), nada protege a una PC de ser hackeada (los consejos que di son para ataques remotos), después de todo me toma 5 min (miento lo que se tarde en iniciar más 2min mas, jeje siempre exagero en mis sifras jeje), entrar como administrador en un win usando como única herramienta un live y haciendo algo tan simple como copiar el cmd y cambiarle el nombre, re iniciando y ya ta, acceso a todo (es igual de fácil para un PC con Linux), como siempre este es un método simple, pero también hay complejos que no llevan más de media hora para tener todo el acceso a una PC (aunque pensándolo mejor si lo que quieres son sus datos, con el live puedes jalarlos todos y decodificarlos después en la comodidad de tu hogar).
En conclusión prográmate un Task Manager propio para que vigiles periódicamente tus procesos, y te asegures de que haya cero infección, solo así se vive una vida tranquila.
Si bueno, cuando dice diseñada para Windows 2000 no le instales Windows 7. Eso que dices no es cierto, a no ser que realices compras por internet. La mayoria de los virus son detectados por los antivirus, asi sea gratuitos.
[...] MuyWindows [...]
Guillermo, buen post.
Es importante recordar este tipo de cosas que ya se han mencionado por enesima vez. Esa forma en la cual Windows siempre ha estado estructurado junto con la flojera de crear otra cuenta de usuario siempre causa este tipo de dolores de cabeza.
no hablare con mas profundidad de seguridad…
Cualquier Sistema Operativo como Windows y Mac OSX puede ser craqueado… Linux tambien ha tenido un pequeño historial de vulnerabilidades que comprometian al kernel desde el año 2001:
http://www.darknet.org.uk/2009/08/serious-linux-kernel-vulnerability-for-all-2-4-2-6-kernels/
Hola, solo tengo un pequeño problema, trabajo en un cyber, hay una maquina con windows 7, las demas son xp, tenemos un usuario limitado, en el 7 instalamos garena que es un programa para jugar por internet en nuestro caso Warcraft, cada vez que un usuario le hace click, hay que colocarle la contraseña de Admnistrador, sino no lo deja funcionar, ya hice lo de Ejecutar como otro usuario, y nada sigue pidiendo la clave, loq ue quermso es hacer lo que hemos hecho en XP, utilizamos runas, y nos pidio la contraseña una vez, la almaceno y problema resuelto: nomas contraseña pero con el 7 nos ha sido imposible
Que nos sugieres, hemos ido mas adelante,m desde el usuario limitado creamos una carpeta en C llamada JUEGOS, alli instalamos el garena, pero nada, a pesar que la carpeta es del usuario limitado, si pudieras ayudarnos te lo agradeceriamos Gracias