Navegar y recibir correo de forma más segura siendo administrador

Navegar y recibir correo de forma mÁs segura siendo Administrador

Uno de los consejos más oídos y leídos para un usuario es: no trabajar como administrador del sistema, sino como un usuario. ¿Por qué? La implicación de una cuenta de administrador comporta un nivel de privilegios excesivamente alto en demasiadas ocasiones. Si ya sé, muchos dirán que como usuario existen problemas, sobre todo en la instalación y ejecución de programas, pero nada nos impide tener una cuenta de administrador y otra de usuario, la primera nos servirá para todas las tareas e instalar los programas, la segunda para trabajar, o sea ejecutarlas con unos niveles de privilegios bajos. Ello impedirá que cuando se ejecuten, incluídos virus, programas maliciosos, etc… tengan acceso ilimitado a recursos críticos, como las carpetas o registro del sistema, impidiendo que los dañen o modifiquen.

Trabajando como usuario y en contadas ocasiones puede que necesitemos utilizar la cuenta que tenemos de administrador, lejos de tener que cerrar la sesión de usuario y abrir la de administrador, Windows nos proporciona la utilidad de “RunAs” o Ejecutar como, a la que se accede pulsando con el botón derecho del ratón sobre el ejecutable, o incluso creando un acceso directo al ejecutable y configurándolo para ejecutarse como…

Bien, pero la verdad es con la que se encuentran muchos usuarios es a la inversa: necesitan trabajar como administradores, por ejemplo los desarrolladores, y teniendo en cuenta que la mayor parte de las amenazas provienen de Internet, sea navegando o por correo electrónico, lo que se necesita es ejecutar esos programas con privilegios bajos, es decir, como usuario y no como administrador.

Bueno, pues sepamos que se puede hacer, gracias a Michael Howard y su DropMyRights:
http://msdn2.microsoft.com/en-us/library/ms972827.aspx, al que podemos añadir un ad-on de Aaron Margosis, PrivBar, que añade una barra a Internet Explorer, la cual nos indica con qué usuario estamos ejecutando el proceso.

Como su autor indica, DropMyRights es una pequeña aplicación que ayuda a los usuarios que trabajan como administradores a ejecutar aplicaciones de una forma más segura, siendo simples usuarios. En este caso podemos ejecutar Internet Explorer o Outlook mediante DropMyRights, lo que hará que los privilegios sean de simple usuario.

Su uso es sencillo, bajamos la aplicación y se extrae a una carpeta. Para utilizarlo con la aplicación tan sólo hemos de crear un acceso directo, en el cual introduciremos la ruta del ejecutable DropMyRights.exe y la ruta de la aplicación:

"C:\DropMyRights\DropMyRights.exe”
“C:\Program Files\Internet Explorer\IEXPLORE.EXE”.

Cuando hagamos clic en el acceso directo estaremos utilizando Internet Explorer con privilegios de usuario y no de administrador.

El complemento PrivBar de Aaron Margosis instala una barra en el propio Internet Explorer que nos mostrará en todo momento con qué privilegios estamos ejecutando la aplicación.

Para usarla necesitamos bajarla e instalarla manualmente:

Descargamos el zip (link de Aaron)

Extraemos PrivBar.dll a una carpeta con acceso a todos los usuarios.

Abrimos una ventana cmd y registramos la dll: regsvr32 path\PrivBar.dll (donde path es la ruta donde se encuentra)

Recibiremos un ventana que debe indicar que se ha registrado correctamente

Extraemos PrivBarReg.reg del zip y lo importamos al registro.

Hay que vigilar la configuración del IE, herramientas, opciones de internet, avanzadas, las extensiones de terceros del navegador debe estar marcada.

Luego desde el Internet Explorer, Ver, Barras de herramientas, nos aparecerá PrivBar, desbloqueando las barras la podremos colocar donde deseemos.

Aquí nos muestra como estamos navegando como administradores:

Si pulsamos sobre el botón rojo, nos presenta información ampliada:

Ahora, pulsemos en el acceso directo creado y que ejecuta DropMyRights.exe

Podemos observar que nos indica que ahora somo usuarios y no administradores, por supuesto pulsando en el botón verde obtendremos información ampliada y distinta en el caso anterior:

¿Poner un shell al dropmyrights?

Según aparece en el blog de Michael Howard:

http://blogs.msdn.com/michael_howard/archive/2004/12/23/331606.aspx

Podríamos llegar más lejos, y así, bajandonos HShellExtPack v0.3.0.zip o HShellExtPack_StdAlone v0.3.0.zip (http://www1.freeweb.hu/hofi/Programming/Vcl/VclComponents.php#1)

Tendríamos un pequeño shell añadido al menú contextual, la versión StdAlone no necesita de ciertas librerías.

En este menú nos encontramos con:

Menu “Launch Safer…”

Esta función está inspirada en la propia herramienta DropMyRights de Michael Howard. Si se utiliza Windows como administrador (no demasiado recomendable) se pueden lanzar programas vía HshellExtPack con privilegios bajos.

A dicho menú se le añaden los siguientes items:

Normal: ejecutar la aplicación como normal user

Constrained: ejecutar la aplicación como constrained user

Untrusted: ejecutar la aplicación como untrusted user. Aquí puede ocurrir que algunas aplicaciones fallen.

Menu “Launch At Priority…”

Se puede elegir la prioridad de ejecución del programa: Normal, above normal, bellow normal, high, idle y Real time.

Esto funciona seleccionando un único archivo. (El menu contextual no contendrá ningún item de HshellExtPack si se seleccionan multiples archivos!)

Además podemos ver que aparece Run As, que nos permite la ejecución de una aplicación como un usuario concreto. Luego os muestro un ejemplo.

Instalación:

Si estamos usando una versión previa primero hemos de desregistrarla, regsvr32 con el parámetro /U.

Copiamos HShellExtPack.dll y Launcher.exe en un directorio (que será el path) y la registramos regsvr32 path\HshellExtPack.dll. (No hay ayuda disponible)

El ejemplo prometido, escenario:

He iniciado sesión como administrador.

Creo un acceso directo de IE utilizando DropMyRights.

Si ejecuto IE, PrivBar (Aaron Margosis) me muestra los siguiente:

Se ve que estoy navegando como administrador, punto rojo. Abramos ahora el acceso creado con dropmyrights:

Bueno, ahora aún siendo administrador estoy navegando con privilegios básicos de usuario, punto verde.

Pero veamos ahora qué pasa si utilizamos el menú contextual sobre un icono de acceso directo a IE normal (sin dropmyrights) y seleccionamos Run As:

Primero se nos presentará el cuadro para elegir usuario, y así lo hago, pongo mi usuario juansa.

Pulso Ok, y se abrirá el IE, ¿que dice PrivBar?

Está claro ¿no?, el usuario que está utilizando el proceso ya no es el administrador con privilegios bajos, en este caso es el usuario juansa, aunque la sesión abierta continua siendo del administrador.

Michael Howard ha escrito una segunda parte de su artículo, que está en

http://msdn2.microsoft.com/en-us/library/ms972802.aspx

nos habla de un procedimiento bastante interesante y nos adjunta otra herramienta, SetSafer, incluyendo un link de descarga SetSafer.msi.

NOTAS

El shell añadido funciona sobre programas y aplicaciones ejecutables, es decir, no nos funcionará por ejemplo con los links, ya que son archivos .lnk.
Una prueba simple es hacerlo directamente sobre C:\Program Files\Internet Explorer\IEXPLORE.EXE, clic derecho sobre el exe y elegir lanzarlo como el usuario que queramos, se abrirá IE bajo esos privilegios, si añadimos el ad-on de Aaron podremos verlo.

Para poder ejecutarlo con otros tipos de archivo no ejecutables, hemos de añadir el path al launcher.exe en la sección de PATH de las variables de entorno (clic derecho MI PC, propiedades, avanzadas, variables de entorno).

Con XP SP2 sólo he encontrado leves diferencias, por ejemplo creando users limitados y Power Users, el Ad-on muestra los diferentes tipos de usuarios en el IE.
O, que por defecto no es necesario activar las extensiones de terceros para el propio IE y la barra PrivBar aparece nada más registrar la dll.

_________________________

Segunda parte:

http://sourceforge.net/projects/runasadmin

Basado en la idea de MakeMeAdmin y DropMyRights, Valery Pryamikov, ha diseñado otra herramienta que se añade al systray y nos da varias opciones, entre ellas, que está en español y catalán (un poco del sur pero vaya, lo mejor que se pudo), la ha llamado RunAsAdmin Explorer Shim http://sourceforge.net/projects/runasadmin/

Veamos qué nos dice Valery, cómo la podemos instalar, y sobre todo cómo utilizarla.

El archivo binario se llama explorer.exe, que podemos copiar y ejecutar en una carpeta distinta a Windows, por ejemplo: Windows\Shim\Explorer.exe.

Para su ejecución hemos de ser administradores de la máquina.

Lo ejecutaremos con una ventana cmd desde el directorio donde lo hemos copiado o directamente con ejecutar path\Explorer.exe /i (donde path es la ruta al directorio). Para desinstalarlo el parámetro sería /r.

Cerramos sesión y la volvemos a iniciar. Lo normal es que se nos pregunte en ese reinicio cómo queremos que se ejecute el shell por defecto: unrestricted o normal. Marcamos la opción deseada y pulsamos ok.
(Yo diría que es más cómodo tener el shell sin restricciones y ejecutar después las aplicaciones con los privilegios que seleccionemos, ya que como usuario normal podemos encontrarnos con que hay muchas acciones que no nos permitirá y que deberemos utilizar el Shim para realizarlas una a una).

En ese momento se nos muestra un icono en el systray, al pasar el puntero del ratón nos indica de qué manera se está ejecutando:

Con click derecho sobre el icono nos mostrará el menú contextual, mientras que haciendo click directamente nos solicita que seleccionemos qué privilegios queremos utilizar y nos mostrará la ventana de ejecución.

El menú se compone de :

Aquí nos aparece el menú, por defecto en inglés aunque podemos cambiarlo desde Options, Ejecutar como al que accedemos directamente si hacemos click sobre el icono, las opciones, Acerca de Shim, cerrar el menú y salir de la aplicación.

Desde opciones cambiamos el idioma, en este caso selecciono español, y pulso OK.
Desde ahora por defecto tendremos el español.

El resto de opciones nos muestra la posibilidad de cambiar los privilegios por defecto del shell de Windows y si el inicio es interactivo.

Para ejecutar un programa o aplicación podemos pulsar directamente sobre el icono, seleccionar los privilegios y se nos mostrará la ventana de ejecución, o mediante el menú contextual, ejecutar como, seleccionar los privilegios. La única diferencia en la ventana de ejecución es su título, donde podemos ver que indica con que privilegios se va a ejecutar la aplicación.

Escribimos la ruta del ejecutable o utilizamos el botón buscar para localizarlo, pulsamos OK y se ejecutará.

Cómo podemos saber que funciona? Bueno, pues si leímos la primera parte de dropmyrights y tenemos instalado PrivBar, podemos ejecutar IE con los distintos privilegios, así PrivBar nos mostrará los privilegios, punto rojo administrador, punto verde usuario normal y punto verde cruzado los restantes.

Y eso es todo amigos.

Os recomiendo visitar http://sourceforge.net/projects/runasadmin donde se publican las versiones de Explorer Shim.

NOTAS: La aplicación en estos momentos depende de cierta librería (dll) que ha de estar instalada en el sistema (system32), si no es así, debéis buscarla y colocarla en el mismo directorio del Explorer Shim.
Valery estaba trabajando en una versión beta de Shim, en la que la instalación sea completa.

8 - febrero - 2005

Juan Salvador Llopis
MS MVP Windows Server Networking
Juansa@gmail.com