Comandos runas

Solo disponible en BuenasTareas
  • Páginas : 11 (2597 palabras )
  • Descarga(s) : 0
  • Publicado : 1 de abril de 2010
Leer documento completo
Vista previa del texto
Por favor, no inicies sesión como administrador, utiliza RunAs
Introducción
Un error muy común a la hora de iniciar sesión en un equipo es el hacerlo con un usuario con privilegios de administrador. La causa suele estar en el deseo de poder controlar con estos privilegios el equipo, para poder así hacer todo lo que queramos, sin limitaciones impuestas por una sesión de un usuario conprivilegios limitados. Esto es un enfoque erróneo, desde el punto de vista de seguridad. En este artículo veremos porqué es un error y cómo podemos evitar esta práctica sin por ello dejar de poder realizar nuestro trabajo de administración
El error de iniciar sesión como administrador
¿Por qué no iniciar sesión con un usuario administrador? Por motivos de seguridad, seguridad tanto en la precisiónde nuestros movimientos como en las posibilidades de sufrir un ataque de código malicioso.
Si tenemos que hacer una tarea que requiera disponer de privilegios administrativos, es mejor que seamos conscientes de que lo que estamos realizando requiere estos privilegios. Esto es, que si intentamos hacer algo con un usuario sin privilegios administrativos la operación nos sea denegada o que,directamente, tomemos las acciones necesarias para poder realizar la acción como administrador; de esta manera sabremos que estamos haciendo algo "serio" y encararemos la tarea de una manera más consciente, más meditada.
Si ejecutamos un adjunto de un correo que contiene un virus (esto que he dicho nunca debería pasar, pero...), el virus intentará hacer "sus cositas", tan simpáticas y bondadosasellas; digo intentará porque el virus será lanzado con los privilegios del usuario que lo ha ejecutado y, si no nos hemos logado como administradores, el virus no podrá tomar acciones de veras dañinas con el sistema, al carecer de los privilegios necesarios como para, por ejemplo, escribir en el directorio de Windows, o en la rama del registro HKEY_LOCAL_MACHINE. Si el virus es ejecutado con unusuario administrador..., bueno, si este es el caso, con lo dicho anteriormente, está diáfano que el virus podrá hacer, sencillamente, lo que se le antoje. Esto que decimos de los virus lo podemos decir de los troyanos, spyware, etc.
Una última consideración. Si esto que hemos dicho es grave en un equipo de usuario ¿qué pasa con los servidores? Un servidor es mejor que no tenga usuario logado, peroen muchas ocasiones estamos obligados a que haya un usuario logado, por culpa de algún software que lo requiera, por ejemplo. Es una práctica demasiado común dejar estos servidores logados con un usuario administrador ¡¡incluso con el propio administrador del dominio!! ¿Qué pasa si un código malintencionado se ejecuta en ese servidor? ¿Qué pasa si se cuela un troyano? ¡¡Privilegios deadministrador del dominio para el troyano/virus/etc.!! ¡¡¡No, no, no, no, noooooooo!!! Definitivamente no es buena idea logarse como administrador....
¿Cómo realizar acciones administrativas sin logarme como administrador?
El problema de seguridad que se deriva de iniciar sesión como administrador no es únicamente de Windows, es algo inherente a los propios sistemas operativos. De ahí el que se incluyaen ellos mecanismos para poder lanzar procesos con otras credenciales diferentes a las del usuario que está logado. Estas utilidades permiten lanzar los procesos con cualquier usuario, no es requerido que se lancen con usuarios administradores, pero su mayor utilidad es, precisamente, cuando se ejecutan para lanzar los procesos como usuario administrador. Todo buen curso de administración de unsistema operativo recomendará que no se inicie sesión como administrador nunca, si no que se haga como usuario limitado y se haga uso de estas utilidades cuando se requiera realizar una acción administrativa. En Unix/Linux usaremos SU, en Windows 2000/XP/2003 usaremos RunAs.exe.
RunAs.exe
RunAs nos permite, como vimos anteriormente, lanzar un programa como otro usuario distinto al que tiene...
tracking img