|
|
|
|
- Presentación
- La cuenta de usuario control en Windows Vista (y posteriores)
- La redirección
- Redirección de los archivos
- Redirección del registro
- Cómo elevar los privilegios concedidos a un usuario
- Impacto de la UAC en las aplicaciones WINDEV
- Grupos de funciones que pueden verse afectados por el mecanismo de la UAC
El mecanismo UAC en Windows Vista (y posterior)
Para aumentar la seguridad contra gusanos y virus, Windows Vista implementó el mecanismo UAC (User Account control). Por Default, este mecanismo considera que todos los usuarios (incluidos los administradores) son usuarios estándar con derechos limitados. Para ejecutar una aplicación que requiere derechos adicionales, el mecanismo UAC solicita confirmación. Esta página de ayuda presenta brevemente el mecanismo de la UAC. Consulte la ayuda en línea de Windows (Vista o posterior) para obtener más detalles. La cuenta de usuario control en Windows Vista (y posteriores) Hay dos tipos de cuentas disponibles en Windows: - la cuenta de administrador, que tiene todos los derechos y privilegios para administrar un equipo.
- la cuenta de usuario estándar, que tiene derechos y privilegios limitados.
El UAC reduce el potencial de un ataque de software malicioso. Todos los usuarios (incluyendo los administradores) tienen una cuenta limitada por Default. Los usuarios pueden elevar temporalmente sus privilegios cuando necesiten ejecutar tareas administrativas o instalación. Por Default, los administradores ejecutan la mayoría de las tareas usando privilegios de usuario estándar. Cuando necesitan realizar una tarea administrativa, deben dar su consentimiento en una ventana que se muestra: Nota: El aspecto de esta ventana depende de si el ejecutable está firmado o no. Los privilegios elevados sólo se conceden durante la ejecución de Process. Todas las demás tareas se realizan con la cuenta de usuario estándar. La UAC asegura que: - todos los usuarios utilizan los privilegios estándar de Default.
- se debe dar una aprobación explícita para elevar un privilegio.
- se garantiza un alto nivel de compatibilidad para las aplicaciones existentes.
Si un usuario intenta escribir en el registro (HKEY_LOCAL_MACHINE\SOFTWARE key) o en un directorio del sistema sin tener los derechos necesarios, Windows redirige automáticamente estas operaciones de escritura.. Una información redirigida escrita por un programa puede ser leída por este programa. Esta redirección se realiza por usuario: si una aplicación que utiliza el mecanismo de redireccionamiento es iniciada por dos usuarios diferentes, estas aplicaciones no podrán intercambiar información. Esta redirección sólo se realiza si el usuario no tiene los derechos de administrador necesarios para realizar esta operación.. Observaciones: - Esta redirección se realiza para asegurar la compatibilidad de las aplicaciones porque una aplicación para Vista, Windows 7 o Windows 2008 no debería escribir en estos directorios.. El soporte para esta redirección puede no estar disponible en las próximas versiones de Windows.
- Esta redirección se realiza para las aplicaciones de 32 bits (y no para las aplicaciones de 64 bits).
Redirección de los archivos Si una aplicación escribe en uno de los directorios del sistema (Windows, Archivos de Programa, ...), esta operación de escritura se realizará sólo si el usuario tiene suficientes derechos (administrador).. De lo contrario, Windows redirige la operación de escritura a un directorio específico del usuario. Redirección del registro Si una aplicación escribe en la tecla HKEY_LOCAL_MACHINE\SOFTWARE, esta operación de escritura se realizará sólo si el usuario tiene suficientes derechos (administrador).. De lo contrario, Windows redirige la operación de escritura a la tecla HKEY_CURRENT_USER\Software\Classes\VirtalStore\MACHINE\SOFTWARE key. Cómo elevar los privilegios concedidos a un usuario Por Default, cuando se ejecuta un ejecutable, el sistema utiliza los siguientes elementos para definir si el ejecutable requiere privilegios específicos: - la presencia de un fichero manifiesto en el que se especifiquen explícitamente los derechos exigidos por las solicitudes
- las opciones seleccionadas en las propiedades del ejecutable
- el nombre del ejecutable (ejecutables que contienen palabras clave específicas en su nombre o description)
- el contenido del ejecutable
- si el ejecutable finalizó correctamente o no cuando se ejecutó previamente.
El usuario puede elevar sus privilegios mediante una de las siguientes operaciones: - Haga clic con el botón derecho del ratón en el ejecutable y seleccione "Ejecutar como administrador".
- Seleccione "Ejecutar este programa como administrador" en la pestaña "Compatibilidad" de las propiedades ejecutables.
- Utilizar un manifiesto que especifique los derechos requeridos por el ejecutable. Esta solución es propuesta por WINDEV. Al crear el ejecutable, tiene la posibilidad de incluir un manifiesto en su ejecutable.
Observaciones: - Los ejecutables que requieren una elevación de privilegios se muestran en Windows con un escudo sobre el ejecutable Icon.
- Windows puede solicitar automáticamente una elevación de privilegios si detecta que el programa es un programa instalación.
- Atención: Al iniciar una aplicación con privilegios de "Administrador", se pierden las conexiones de red.. Es una acción de seguridad de Windows relacionado para la UAC.: Las unidades de red se desconectan cuando se elevan los privilegios de usuario.. Para seguir utilizándolas, deben ser reconectadas específicamente. Para ello, utilice la función NetworkConnect.
NetworkConnect("S:","\\Server\share", "user", "password")
Nota: Los parámetros de usuario y contraseña deben especificarse necesariamente en este caso porque Windows considera que el usuario ha cambiado.
Impacto de la UAC en las aplicaciones WINDEV - El UAC no tiene ningún impacto si una aplicación se ejecuta correctamente en Windows XP para un usuario estándar.
- Si una aplicación requiere privilegios de administrador, debe incluirse un manifiesto en el ejecutable (solicitando los privilegios de administrador).
- Si la redirección afecta o cambia el comportamiento de la aplicación, se debe incluir un manifiesto en el ejecutable (solicitando los privilegios de administrador).
Recordatorio: WINDEV le permite incluir un manifiesto al crear el ejecutable. Grupos de funciones que pueden verse afectados por el mecanismo de la UAC Las siguientes funciones (o grupos de funciones) pueden verse afectadas por el mecanismo de la UAC (Reminder: el mecanismo de UAC está habilitado por Default en Windows Vista (y más tarde): Esta lista no es exhaustiva. Consejo de programación: Para crear/modificar un archivo sin tener los privilegios de administrador, le aconsejamos que cumpla con el estándar de programación de Windows Vista (y posterior).. Para obtener más información, consulte Estándar de programación para Windows Vista.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|