WINDOWS ADMINISTRACION DE USUARIOS EN WINDOWS

MANUAL DE CONFIGURACION DE USUARIOS

ADMINISTRACION DE CUENTAS DE USUARIOS

Actualmente vemos que a diario surgen nuevas amenazas que afectan a los
Sistemas Operativos. En el contexto hogareo, suele darse que diferentes
usuarios usan una misma computadora y toman distintos recaudos,
generando que se pierda el control en la ejecucin de aplicaciones, lo que podra
derivar en la infeccin con distintas amenazas. Para evitarlo se debe de
personalizar las configuraciones, eliminando las que vienen por defecto
para elevar los niveles de seguridad en los equipos. Usando la creacin de
perfiles de usuarios de equipo, asociados a un grupo donde es posible
administrarlos y definir polticas a cada uno de ellos.

TIPOS DE CUENTAS DE USUARIO USUARIOS

Account Manager- Administrador

Es el tipo de cuenta por defecto con Micosoft Windows XP. Con esa
cuenta, puedes:
Instalar en tu ordenador software y otros materiales.
Realizar operaciones de mantenimiento.
Aadir nuevos programas y perifricos como una impresora o
software para compartir msica.
Crear ms cuentas.

Cuenta de usuario limitado

La cuenta de usuario es para tu trabajo cotidiano. Esta cuenta te
permite utilizar los siguientes problemas:
Aplicaciones de internet y programas de e-mail
 Programas como Microsoft Word, Microsoft Excel y Microsoft
PowerPoint
Programas de msica y de vdeo con los que puedes leer, editar
fotos y muchas cosas ms.
Desafortunadamente, algunas aplicaciones no funcionan con
las cuentas de usuario limitado. Para evitarlo, puedes elegir
utilizar Windows SteadyStae

Cuenta de usuario estndar

Tiene privilegios limitados, se puede usar la mayora de los programas
instalados en el equipo, pero no se puede instalar o desinstalar
software ni hardware, eliminar archivos que son necesarios para que
el equipo funcione, o cambiar opciones de configuracin en el equipo
que afecten a otros usuarios.

Cuenta de usuario Invitado

Suele ser utilizada por usuarios temporales del equipo. Aunque tiene
derechos muy limitados, hay que tener cuidado al utilizarla porque se
expone al equipo a problemas de seguridad potenciales. El riesgo es
tan alto que la cuenta de invitado viene deshabilitada con la instalacin
de Windows 7.

CONFIGURACION

Configurar Windows 7 para una cuenta de usuario estndar

Actualizado: octubre de 2009
Se aplica a: Windows 7
Ahora se ha lanzado al mercado Windows 7 y muchos estn
probando este nuevo sistema operativo. Quienes no pasaron a
Windows Vista desde Windows XP se han encontrado con una nueva

2
experiencia y un paradigma de seguridad completamente nuevo: el
control de cuentas de usuario (UAC).
UAC se present con Windows Vista y se critic mucho debido a su
transparencia. Aunque se ha apaciguado un poco en las
actualizaciones de Windows Vista, parece realmente haber llegado al
mximo en Windows 7. Me gusta mucho UAC.
Pero incluso en su forma imperfecta, fue una buena idea intentar
aclarar la borrosa lnea entre las tareas administrativas y las tareas de
usuario de la que ha adolecido Windows desde su aparicin.
Gran parte de esto se debe a los primeros sistemas operativos de
consumidor Windows 95, Windows 98 y Windows ME, que no
mantenan ninguna distincin tcnica entre estos roles: todo el mundo
era siempre administrador y a los programadores de software ni
siquiera se les ocurra pensar en una separacin de roles.
Pero incluso con los sistemas Windows NT, Windows 2000 y Windows
XP ms modernos, era tan complicado trabajar como un usuario no
administrador que la mayora de las personas simplemente se rendan
y trabajaban con una cuenta Administrador. Esto se deba casi por
completo a los malos hbitos de los programadores de software: ellos
mismos trabajaban como administradores y simplemente escriban
cdigo farragoso que supona que todos eran administradores.
Microsoft ha intentado oponerse a esta mentalidad de "todos son
administradores" con todas sus fuerzas y UAC fue su intento de
alcanzar un punto intermedio: si alguien va a trabajar como
administrador, al menos podemos hacer que sea consciente de las
diferencias de roles. Esto es lo que UAC intenta lograr.
Explicacin del control de cuentas de usuario
El control de cuentas de usuario funciona guardando el acceso a los
derechos de administrador y esto implica elevaciones de privilegios: al
intentar realizar las tareas administrativas, el sistema operativo se

3
eleva automticamente a los derechos de administrador o solicita algn
tipo de consentimiento o credenciales para hacerlo.
Windows 7 reconoce tres clases amplias de usuarios:
La cuenta predefinida "Administrador"
Esta cuenta es especial por varias razones y est deshabilitada de
forma predeterminada en Windows Vista y Windows 7. Dado que esta
cuenta desactiva explcitamente algunas caractersticas de seguridad
importantes (como el modo protegido de Internet Explorer), as como
UAC, no es conveniente usar la cuenta de administrador para nada.
Insisto encarecidamente en dejar deshabilitada la cuenta
Administrador.
Mantener esta cuenta deshabilitada (lo que significa que tendr
tentaciones de usarla realmente) ayudar a mantener el equipo ms
seguro.
Una cuenta con derechos de administrador
Aunque un usuario tiene la capacidad de elevarse a los derechos de
administrador debido a la pertenencia al grupo Administradores local,
UAC se interpone en los momentos clave con indicadores que
confirman sus intenciones:
Este es el modo Pedir consentimiento, en el que al hacer clic en S, se
eleva la tarea y se ejecuta como administrador.
Para realizar las tareas administrativas, use siempre este tipo de
cuenta Administrador personalizada en lugar de la cuenta
predefinida Administrador.
Windows 7 presenta un control deslizante para la configuracin de UAC
que permite cambiar el nivel de los avisos de UAC y que incluye una
opcin para deshabilitarlo por completo (el modo Aprobacin de
administrador).
Una cuenta de usuario estndar

4
En los sistemas UNIX y Linux siempre ha estado claro qu es una tarea
administrativa y qu es una tarea de usuario: simplemente resultaba
patente qu era qu.
Es ms, el mejor ejemplo de la cultura de esta distincin de roles se
encuentra en el comportamiento de los grupos de noticias de los aos
ochenta. Si un usuario enviaba mensajes desde su cuenta raz (la del
administrador del equipo), se le rea: "No ejecutar como raz"
Estas cuentas simplemente no tienen la potencia para realizar las
tareas administrativas directamente, ni tienen la capacidad de elevarse
con una simple confirmacin. En su lugar, requieren credenciales como
una contrasea o una tarjeta inteligente. Esto se solicita a travs del
siguiente aviso al usuario:
Esto se conoce informalmente como modo Consentimiento
temporal (donde alguien se puede apoyar en el hombro del usuario
para escribir una contrasea y elevar una tarea aprobada).
Creo firmemente en las cuentas de usuario estndar
Las he usado desde Windows XP Service Pack 2, tanto en mi porttil
como en mi estacin de trabajo de desarrollo de software principal. A
veces ha sido difcil, pero ha disminuido drsticamente la superficie de
ataque de mi sistema y ha contribuido a que mis equipos de Windows
no hayan estado jams en peligro.
Al empezar a trabajar con Windows 7, por supuesto, quera trabajar
como usuario estndar, pero no saba cmo funcionaba (en Windows
7 ni en Windows Vista) y esencialmente me bloquee a m mismo en mi
propio equipo (vea Protegerse de su propio equipo, ms adelante en
este documento).
As despus de averiguar lo que ocurra (y reinstalar un par de veces),
cre esta sugerencia tcnica para ayudar a un usuario mentalizado con
la seguridad a hacer lo ms seguro.
Este documento presenta dos procedimientos: uno para una
instalacin por primera vez del sistema operativo y otro para reajustar

5
un sistema ya instalado donde el usuario principal es un administrador
personalizado.
Mtodo 1: Configurar una nueva instalacin
Resulta fcil hacer bien una nueva instalacin porque no hay ninguna
instalacin anterior que haya que solucionar. En esta ilustracin se
usan dos cuentas de Windows:
SteveAdmin: la primera cuenta creada durante la instalacin; se
debera usar solamente para las tareas administrativas.
Steve: la segunda cuenta creada como usuario estndar; esta cuenta
estndar se usa para el trabajo diario.
La cuenta predefinida Administrador no se usar para nada y se
mantendr deshabilitada.
Siga estos pasos para instalar Windows 7:
Instalar Windows 7 y crear un usuario inicial denominado "SteveAdmin"
Este debera ser el proceso "instalacin desde DVD" normal. Las
partes iniciales tardan algn tiempo (y al menos un reinicio) antes de
hacer cualquier pregunta relacionada con la configuracin de los
usuarios.
Cuando se le pida confirmacin, asigne al primer usuario el
nombre SteveAdmin. Se crea automticamente como una cuenta
Administrador.
Si decide dar una contrasea a la cuenta, asegrese de recordarla; se
requerir para todas las tareas administrativas en el equipo.
Completar la instalacin de Windows 7
Esto incluye configurar Actualizaciones automticas, agregar los
controladores necesarios, configurar la red, etc.
Todo esto se hace como el usuario administrador SteveAdmin.
Crear una nueva cuenta denominada "Steve" como usuario estndar
Mientras tenga iniciada la sesin como SteveAdmin, navegue al Panel
de control:
Haga clic en el icono Inicio.

6
Haga clic en Panel de control.
Haga clic en Agregar o quitar cuentas de usuario en Cuentas de
usuario y proteccin infantil.
Haga clic en Crear una nueva cuenta bajo la lista de cuentas actuales.
Rellene el cuadro de dilogo con el nuevo nombre de usuario (Steve)
y, a continuacin, haga clic en Usuario estndar.
Haga clic en Crear cuenta para completarlo.
Asignar una contrasea al nuevo usuario "Steve" (si lo desea)
Cuando se haya creado la cuenta, aparecer una lista de usuarios
actuales con el subttulo "Elegir la cuenta que desee cambiar". Haga
clic en el icono de la cuenta Steve creada recientemente, que se
debera mostrar como Usuario estndar.
Haga clic en Crear una contrasea y escriba una contrasea (dos
veces), junto con una sugerencia de contrasea si lo desea.

Nota

Dado que est cambiando la contrasea para un usuario diferente de u

mismo (Steve frente a SteveAdmin), aparece el mensaje siguiente que se pu
pasar por alto: "Si hace esto, Steve perder todos los archivos cifrados por E
certificados personales y contraseas almacenadas para sitios web o recu
de red". Dado que este usuario se acaba de crear, no se puede perder ning
informacin privada, de modo que podemos no hacer caso a este mensa
continuar.

Cierre los cuadros de dilogo del Panel de control, cierre la sesin y

vuelva a iniciarla como Steve
En este momento, Steve es un usuario estndar. Ahora que somos un
usuario estndar, todos los intentos de realizar las tareas
administrativas reciben un aviso de UAC que pide la contrasea
de SteveAdmin.
Mtodo 2: Convertir un usuario administrador ya instalado

7
Este mtodo se usa si ya se ha instalado Windows 7 y el usuario
instalador (aqu, Steve) se ha creado automticamente con derechos
de administrador. Aunque se podra cambiar tcnicamente el nombre
de la cuenta a SteveAdmin y crear una nueva cuenta para Steve como
usuario estndar, esto causara estragos en los perfiles de usuario, el
escritorio y otras configuraciones personales. Es posible copiar los
perfiles, pero es ms fcil crear una nueva cuenta Administrador y
disminuir los permisos de la cuenta Steve.
Estos son los pasos:
Crear un nuevo usuario SteveAdmin
Inicie sesin como Steve, que todava es un usuario administrador, y
navegue al Panel de control para crear un nuevo usuario:
Haga clic en el icono Inicio y, a continuacin, haga clic en Panel de
control.
Haga clic en Agregar o quitar cuentas de usuario en Cuentas de
usuario y proteccin infantil.
Haga clic en Crear una nueva cuenta bajo la lista de cuentas actuales.
Rellene el cuadro de dilogo con el nuevo nombre de usuario
(SteveAdmin) y, a continuacin, haga clic en Administrador.
Haga clic en Crear cuenta para completarlo.
Ahora tenemos una nueva cuenta SteveAdmin sin contrasea y el
sistema tiene dos usuarios administradores.
Asignar una contrasea al nuevo usuario, SteveAdmin (si lo desea)
Cuando se haya creado la cuenta, aparecer una lista de usuarios
actuales con el subttulo "Elegir la cuenta que desee cambiar". Haga
clic en el icono para el nuevo usuario SteveAdmin, que debera
mostrarse como Administrador.
Haga clic en Crear una contrasea y escriba una contrasea (dos
veces), junto con una sugerencia de contrasea si lo desea.

Nota

8
 Dado que est cambiando la contrasea de un usuario diferente de usted mi
(SteveAdmin frente a Steve), aparece el mensaje siguiente que se puede pa
por alto: "Si hace esto, SteveAdmin perder todos los archivos cifrados por E
certificados personales y contraseas almacenadas para sitios web o recur
de red". Dado que este usuario se acaba de crear, no se puede perder ning
informacin privada, de modo que podemos no hacer caso a este mensa
continuar.

Esto completa la creacin de la cuenta SteveAdmin y deja en el equipo

dos cuentas con derechos de administrador.
No cierre el cuadro de dilogo todava. Iremos al paso siguiente desde
aqu.
Disminuir los permisos del usuario "Steve"
Con la cuenta SteveAdmin en buen estado, es el momento de disminuir
los permisos del usuario original de la instalacin, Steve, de
administrador a usuario estndar. Dado que todava estamos en el
Panel de control, podemos empezar con facilidad donde nos
quedamos:
Haga clic en Administrar otra cuenta.
Haga clic en el icono en la cuenta Steve.
Haga clic en Cambiar el tipo de cuenta.
Haga clic en Usuario estndar.
Haga clic en Cambiar el tipo de cuenta.
Cierre los cuadros de dilogo del Panel de control.
La prxima vez que el usuario Steve inicie sesin, tendr exactamente
la potencia del usuario estndar.
Cerrar la sesin de "Steve" y volver a iniciarla
El cierre de sesin destruye el token de sesin que todava posee los
derechos de administrador, de modo que el prximo inicio de sesin
obtiene el nuevo conjunto de derechos limitados.

9
Una vez iniciada la sesin como usuario estndar, los intentos de
realizar las tareas administrativas reciben un aviso de UAC que pide
las credenciales del usuario SteveAdmin.
Deshabilitar la cuenta Administrador
En este punto, uno de los dos procedimientos ha configurado un
usuario estndar Steve y una cuenta Administrador
apropiada SteveAdmin, pero algunos usuarios podran haber habilitado
tambin la cuenta predefinida Administrador anteriormente.
Creo que esto no es buena idea y recomiendo que se deshabilite la
cuenta. Esto no ser necesario si ha instalado Windows 7 por primera
vez o si la cuenta de administrador no aparece en la pgina de inicio
de sesin como un icono para un usuario que puede iniciar sesin.
Si no est seguro, los pasos para comprobarlo y deshabilitar la cuenta
son casi los mismos:
Abrir el applet "Administrar usuarios"
Habilitar y deshabilitar cuentas no se hace en el mismo lugar donde
cre un nuevo usuario, de modo que tendr que navegar a un nuevo
lugar.
Haga clic en el icono Inicio.
Haga clic con el botn secundario en Inicio y seleccione Administrar.
Navegue a Usuarios.
Haga doble clic en Administrador.
Asegrese de que est activada la opcin La cuenta est
deshabilitada (si est activada, ya ha terminado).
Cierre los cuadros de dilogo.
En este punto, la cuenta de administrador est deshabilitada y no se
puede usar para iniciar sesin ni aprobar las elevaciones de UAC. No
es necesario cambiar la contrasea de la cuenta porque al
deshabilitarla se invalida cualquier contrasea (incluso una en blanco).
Elegir una contrasea

10
Curiosamente, no siempre es necesario tener una contrasea en una
cuenta. Dado que no se puede obtener acceso a travs de la red a una
cuenta con una contrasea en blanco, se puede reducir
substancialmente la superficie de ataque de un equipo de esta manera.
Pero esto requiere que tenga un buen control de la seguridad fsica del
equipo. Si hay usuarios en el equipo (o en el entorno) a los que no se
permite realizar las tareas administrativas, sera una mala idea tener
una contrasea en blanco, porque permitira a alguien acercarse al
equipo y hacer lo que quisiera.
Adems, un porttil que se saca de casa probablemente no es un buen
candidato para una contrasea en blanco porque la seguridad fsica es
tremendamente problemtica.
Para la mayora de los usuarios domsticos, es posible que no
importen mucho realmente los esquemas de contraseas que se elijan,
pero si tiene cualquier duda sobre esto, presente su escenario a un
asesor de seguridad confiable para obtener orientacin.
Protegerse de su propio equipo
Tal y como dije anteriormente, no haba instalado Windows Vista antes,
de modo que no saba que la cuenta Administrador estaba
deshabilitada de forma predeterminada. Por eso me llev una
incmoda sorpresa despus de disminuir los permisos de la cuenta de
instalacin Steve.
Despus de configurar el equipo, fui al Panel de control para disminuir
los permisos de la cuenta Steve a una cuenta de usuario estndar.
Haba quitado sin querer la nica cuenta Administrador que quedaba,
de modo que despus de cerrar la sesin y volver a iniciarla (para
permitir que el cambio de la cuenta surtiera efecto en la sesin), la
siguiente operacin de UAC me proporcion el siguiente aviso:
El lector meticuloso habr observado que no hay ningn lugar para
escribir una contrasea. Si dijera que me estaba volviendo loco me
quedara corto. Dependiendo de la configuracin del equipo, puede

11
aparecer una invitacin para usar una tarjeta inteligente, pero eso
probablemente no ayuda mucho en un equipo que no tiene las tarjetas
inteligentes configuradas.
Parece una mala experiencia de usuario, aunque tcnicamente todo
fue culpa ma.

12