| Artículos | 01 ENE 2005

Cómo ejecutar aplicaciones de forma segura

Tags: Histórico
José M. Alarcón.
Los virus, troyanos, spyware y demás fauna maligna del mundo electrónico invaden nuestros ordenadores. y muchas veces ni siquiera somos conscientes de ello. vamos a ver unos cuantos sencillos consejos para protegernos.

Primera máxima: no trabajar en el sistema como administrador
Aparte de los consejos obvios que todo usuario de informática debiera observar (usar un buen antivirus, no aceptar archivos adjuntos de desconocidos, etc.) existen otras recomendaciones menos comunes pero que es interesante seguir. Una de ellas es la que encabeza este párrafo: no trabajar habitualmente como administrador del sistema.
Antes de que Windows XP dominara el mundo de escritorio, Windows 98 y similares no hacían distinción entre usuarios: todos tenían los mismos privilegios. En Windows 2000 Professional y Windows XP esto no es así. Incluso aunque hagamos un uso doméstico en estos sistemas existen multitud de perfiles de usuario, cada uno de ellos con sus atribuciones. Al instalar Windows XP se solicita el nombre de uno o más usuarios que van a trabajar en el equipo, y normalmente se crean de forma automática como administradores del mismo. Ello implica que tienen grandes privilegios a la hora de ejecutar todo tipo de aplicaciones. Si bien ésta es la actitud cómoda para evitar problemas de instalación y ejecución de programas (y facilitar la adopción del sistema operativo en el hogar, cómo no), desde el punto de vista de la seguridad no es la mejor idea.
Windows XP dispone de un asistente muy sencillo de usar que permite gestionar los usuarios comunes del sistema de un modo simplificado. Para acceder a esta herramienta sólo hay que seleccionar Inicio » Panel de Control » Cuentas de usuario. Al ver las propiedades de una cuenta, una de las opciones ofrecidas es la de Tipo de cuenta. Tal y como se observa en la figura anterior se pueden escoger dos tipos básicos: Administrador y Cuenta limitada. Si escogemos cuenta limitada el usuario en cuestión experimentará ciertas limitaciones a la hora de acceder a recursos críticos del sistema como el registro, carpetas del sistema, etc. Ello es bueno en la medida en que impedirá también que los programas que ejecutemos (incluyendo virus y programas maliciosos) tengan acceso a dichos recursos, y por lo tanto no los podrán dañar o modificar.
Como contrapartida está el hecho de que podremos tener restricciones a la hora de instalar algunas aplicaciones nuevas o ejecutar programas especializados que deban acceder a los recursos protegidos. Para esos casos debemos reservar al menos uno de los usuarios que creemos para el sistema, de forma que podamos echar mano de él cuando sea necesario. Luego veremos una forma cómoda de hacerlo.
En resumen: si normalmente en lugar de entrar en el sistema como administrador trabajamos con un usuario limitado nuestra resistencia a ser asaltados por software malicioso aumentará espectacularmente. Los posibles problemas que experimentaremos a cambio no serán apreciables en un uso normal, por lo que ni siquiera nos daremos cuenta la mayor parte de las veces. En cualquier caso, se reservará un usuario administrador para solventarlos en caso de que sea necesario.

Si aparece un problema ¿qué hago?
Si en determinadas circunstancias vemos que nuestra cuenta limitada no nos permite llevar a cabo alguna tarea o ejecutar algún programa recurriremos a un usuario administrador. Siempre habrá al menos uno en el sistema, ya que Windows no nos permitirá eliminar todos. Mucho cuidado con olvidar la contraseña que le hemos asignado (siempre hay que asignar una contraseña, no la dejemos en blanco, por favor).
Imaginemos que con nuestra cuenta limitada intentamos instalar una aplicación y tenemos problemas. Seguramente lo primero que se nos ocurre es abrir una nueva sesión de usuario con la cuenta de administrador y ejecutar desde ella la aplicación conflictiva. Desde luego es una opción, pero no deja de ser un engorro, pues hay que cerrar la sesión actual o mantener dos abiertas para algo tan nimio. Por suerte Windows incluye una opción para facilitarnos la vida a este respecto. Si pulsamos con el botón derecho del ratón sobre un archivo ejecutable (.exe) veremos que hay una opción que reza Ejecutar como…. Al hacer uso de ella aparece un diálogo como el de la figura que nos pide las credenciales del usuario bajo cuyo contexto queremos ejecutar la aplicación. De esta manera, basta con introducir el nombre y la contraseña de un administrador para que obtengamos todos sus permisos a la hora de ejecutar el programa en cuestión. Con ello desa­parece el problema.

¿Y si necesito hacerlo siempre así?
El problema que tiene el consejo anterior es que cada vez que queramos ejecutar el programa con credenciales de administrador tendremos que escribir la clave. De hecho existe una versión para línea de comandos de la utilidad anterior llamada runas.exe que permite ejecutar programas con otras credenciales desde archivos .bat. Sin embargo tiene el mismo problema ya que, aunque admite que se le pase el nombre del usuario en cuyo contexto queremos ejecutar una aplicación, no permite, sin embargo, que se almacene la contraseña, con lo que habrá que escribirla cada vez.
Ritchie Lawrence, responsable de la página commandline.co.uk, tiene para nosotros una solución. Se trata de SANUR (runas, escrito del revés). Lo que consigue esta utilidad es “inyectar” en el comando runas la contraseña que deseemos, evitando que tengamos que escribirla. Su uso es muy sencillo y sólo hay que añadirlo al final del comando separándolo por un “pipe” (|, barra vertical situada en la tecla del número 1 en el teclado). Por ejemplo:

Runas /u:Dominio\Usuario programa.exe | sanur miclave

Lo que hace esta línea es ejecutar programa.exe con el usuario indicado en runas y la clave miclave. Es muy útil porque basta con guardar una línea análoga a la anterior en un archivo con extensión .bat para lanzar cualquier aplicación sin tener que escribir la clave. También permite usar una clave guardada en un archivo de texto en lugar de escribirla directamente en la línea de comandos. Sanur se puede descargar de forma gratuita desde www.commandline.co.uk/sanur/.

El mismo problema visto desde otra perspectiva
En estos momentos me estoy imaginando a algún lector pensando: “estupendo, pero mi problema es el contrario. Necesito ser administrador pero quiero ejecutar algunos programas con menos privilegios”. Esta situación puede darse por muchas circunstancias. Por ejemplo, si somos programadores y el tipo de software que desarrollamos o las herramientas que usamos precisan acceso como administrador, de poco nos vale lo que acabamos de contar. Tendremos que entrar como administradores al sistema.
Sin embargo, está demostrado que la mayor parte de los virus y amenazas vienen de Internet y se aprovechan de los elevados privilegios que tienen los usuarios que han entrado como administradores (que es lo más frecuente, según hemos visto). En el caso mencionado sería estupendo poder autenticarnos como administradores y sin embargo utilizar algunos programas con unas capacidades menores. Un caso típico es el explorador o el cliente de correo. Si los usamos con bajos privilegios tendremos muchas menos posibilidades de que se nos cuele un virus o un programa espía.
El programa DropMyRights hace precisamente lo que buscamos. Se trata de una pequeña utilidad que ejecuta el prog

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información