locked
Como se puede hacer que una determinada aplicacion que precisa privilegios de administrador se ejecute al inicio RRS feed

  • Pregunta

  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    lunes, 21 de diciembre de 2009 15:12

Respuestas

  • La única forma de elevar la aplicación es como te comenté, desde el estándar hasta donde sé no hay forma, porque es que precisamente eso difiere de la cuenta del grupo de administrador, todas las tareas corren con privilegios estándar, y la petición de credenciales es solo un permiso de elevación llamando a unos tokens administrativos para la tarea.
    Sergio Calderón
    Microsoft Student Partner
    • Marcado como respuesta Xavier_23 lunes, 21 de diciembre de 2009 18:50
    lunes, 21 de diciembre de 2009 18:40
  • Hola Sergio, gracias por tus comentarios y tambien por supuesto, a Jose Manuel.

    Quizas no me explico, yo no pretendo que una aplicacion se pueda lanzar con privilegios de administrador por un usuario standard, sin entrar la password de administrador. No quiero que el usuario standard la pueda lanzar. No deseo que el usuario standard intervenga para nada.

    Lo que deseo es que yo, administrador del sistema, pueda programar una tarea para lanzar una aplicacion (como WBadmin) que corra siempre a una determinada hora, este usando el sistema quien sea (cualquier usuario standard) y sin su intervencion.

    Esto es lo que estoy buscando y creo que tiene que haber en alguna parte una solucion.

    Saludetes.

    Xavi
    pcero
    Si lo programas en el planificador de tareas... se ejecutará sin necesidad de nada mas...


    Jose Manuel Tella Llop news://jmtella.com

    • Marcado como respuesta Xavier_23 lunes, 21 de diciembre de 2009 20:47
    lunes, 21 de diciembre de 2009 19:09

Todas las respuestas

  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 15:15
  • Pero te refieres a que inicie con Windows, o que desde que se inicie la aplicación sea con privilegios elevados?
    De cualquier forma si pide esto la aplicación no está bien desarrollada ni para Vista ni para 7, sería bueno si es alguna comercial buscar una actualización más reciente.
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 15:38
  • Pero te refieres a que inicie con Windows, o que desde que se inicie la aplicación sea con privilegios elevados?
    De cualquier forma si pide esto la aplicación no está bien desarrollada ni para Vista ni para 7, sería bueno si es alguna comercial buscar una actualización más reciente.
    Sergio Calderón
    Microsoft Student Partner
    Y merece la pena echar una lectura detallada a esto:




    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 15:48
  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com


    Aprovecho para hacer una pregunta jose, cuando una aplicación solicita permisos y es fiable no habrá ningún problema en instalarla, no? cuando se usa cuenta de usuario estándar esto siempre ocurre.

    tampoco lo habría en utilizar la cuenta de usuario estándar, e instalar desde ella y demás, facilitando la contraseña cuando se solicita? Es que entonces el administrador ni lo usas, entonces no sé exactamente en qué sito queda, para qué cosas se utilizaría, pues yo prescindo totalmente de él.
    lunes, 21 de diciembre de 2009 17:32
  • La aplicacion en cuestion es de Windows 7, concretamente WBadmin (administracion de Windows Backup).

    Porque quiero usar WBadmin?, pues porque el interface grafico de Windows 7 solo me permite lanzar la creacion de imagenes de la particion oculta del sistema y de la particion donde esta ubicado el sistema.

    Sin embargo Wbadmin permite la creacion de imagenes de una sola vez de todos los discos del sistema y ademas, mucho mas rapido. Un backup completo de 246GB me tarda 41 minutos exactamente.

    Asi lo hacia con Vista x64 y asi lo pretendo hacer con Windows 7 x64.

    Por cierto que ya lo he probado (backup y restore) en Windows 7 x64 Ultimate y funciona de maravilla y rapido, mejor incluso que con Vista x64.

    El problema es que lanzar Wbadmin desde un usuario standard se puede hacer perfectamente (obviamente con la contraseña de administrador) pero no se hacerlo de forma automatica, sin tener que facilitar la contraseña de administrador.

    Tiene que haber alguna forma, pues el backup del interface de usuario bien que lo hace.

    Incluso he probado de crear tareas desde el administrador de verdad de Windows 7, pero no he sido capaz.

    Felices fiestas a todos.


    pcero
    lunes, 21 de diciembre de 2009 17:33
  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com


    Aprovecho para hacer una pregunta jose, cuando una aplicación solicita permisos y es fiable no habrá ningún problema en instalarla, no? cuando se usa cuenta de usuario estándar esto siempre ocurre.

    tampoco lo habría en utilizar la cuenta de usuario estándar, e instalar desde ella y demás, facilitando la contraseña cuando se solicita? Es que entonces el administrador ni lo usas, entonces no sé exactamente en qué sito queda, para qué cosas se utilizaría, pues yo prescindo totalmente de él.
    Habria que definir el temrino "fiable"... :-)

    Por desgracia casi ninguna: Todas solicitan mas permisos de los necesarios... Dime una aplicacion que solicite elevacion de privilegios y luego si quieres pensamos entre los dos el por qué los necesita. He puesto un ejemplo antes muy burdo, pero real: si una aplicacion como el notepad te solcitiase privilegos ¿no te extrañaria?... sabes perfectamente lo que hace el cuaderno de notas, por tando deberia extrañarte. Ahora extrapola eso a otras aplicaciones uqe has instalado y lo piden ¿realmente lo necesitan?...


    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 17:49
  • .....
    Tiene que haber alguna forma, pues el backup del interface de usuario bien que lo hace.

    ....
    Es no es explicacion... no vale ya que perfectamente pueden invocar a distintos servicios. Realmente todos llaman internamente el writer (VSS) pero la manera de invocarlo o la necesidad de como invocarlo pueden ser diferentes.

    No hay forma de subirlo. Si la hubiese sería un agujero de seguridad ya que cualquier troyano podria subirse igualmente sus privilegios.

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 17:53
  • La aplicacion en cuestion es de Windows 7, concretamente WBadmin (administracion de Windows Backup).

    Porque quiero usar WBadmin?, pues porque el interface grafico de Windows 7 solo me permite lanzar la creacion de imagenes de la particion oculta del sistema y de la particion donde esta ubicado el sistema.

    Sin embargo Wbadmin permite la creacion de imagenes de una sola vez de todos los discos del sistema y ademas, mucho mas rapido. Un backup completo de 246GB me tarda 41 minutos exactamente.

    Asi lo hacia con Vista x64 y asi lo pretendo hacer con Windows 7 x64.

    Por cierto que ya lo he probado (backup y restore) en Windows 7 x64 Ultimate y funciona de maravilla y rapido, mejor incluso que con Vista x64.

    El problema es que lanzar Wbadmin desde un usuario standard se puede hacer perfectamente (obviamente con la contraseña de administrador) pero no se hacerlo de forma automatica, sin tener que facilitar la contraseña de administrador.

    Tiene que haber alguna forma, pues el backup del interface de usuario bien que lo hace.

    Incluso he probado de crear tareas desde el administrador de verdad de Windows 7, pero no he sido capaz.

    Felices fiestas a todos.


    pcero

    Hasta donde conozco, la única forma de que te corra en principio con privilegios elevados sería:

    - Clic derecho en el ejecutable de la aplicación
    - Ir a la pestaña Compatibilidad
    - En donde dice Nivel de privilegio, marcar Ejecutar este programa como administrador
    - Aceptar

    Esto no es recomendable, una aplicación no tendría por qué estar pidiendo privilegios para correr correctamente, y no asegura esto de que deje de mostrarte todos los mensajes, pero sería una posible "solución"

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 17:59
  • El conjunto de instrucciones que utilizo es conocido, Microsoft facilita su completa descripcion tanto en la ayuda de la interfaz de comandos de Windows 7 y Vista como en Technet.

    En cualquier caso y no quiero ser un pesado, ¿tan raro es que el administrador de un sistema precise crear una estrategia de Backup consistente en utilizar WBadmin y que funcione transparentemente sin la intervencion de ningun usuario, manteniendo la UAC y sin facilitar su password?

    Y quien dice WBadmin dice cualquier otra aplicacion de calidad que el administrador del sistema precise.

    La respuesta evidente es que de raro no tiene nada, lo extraño es que no se pueda realizar.

    Sigo pensando que Microsoft lo tiene previsto de alguna manera.......Hi...Hi

    Saludos a todos.

    Xavi



    pcero
    lunes, 21 de diciembre de 2009 18:38
  • La única forma de elevar la aplicación es como te comenté, desde el estándar hasta donde sé no hay forma, porque es que precisamente eso difiere de la cuenta del grupo de administrador, todas las tareas corren con privilegios estándar, y la petición de credenciales es solo un permiso de elevación llamando a unos tokens administrativos para la tarea.
    Sergio Calderón
    Microsoft Student Partner
    • Marcado como respuesta Xavier_23 lunes, 21 de diciembre de 2009 18:50
    lunes, 21 de diciembre de 2009 18:40
  • Hola Sergio, gracias por tus comentarios y tambien por supuesto, a Jose Manuel.

    Quizas no me explico, yo no pretendo que una aplicacion se pueda lanzar con privilegios de administrador por un usuario standard, sin entrar la password de administrador. No quiero que el usuario standard la pueda lanzar. No deseo que el usuario standard intervenga para nada.

    Lo que deseo es que yo, administrador del sistema, pueda programar una tarea para lanzar una aplicacion (como WBadmin) que corra siempre a una determinada hora, este usando el sistema quien sea (cualquier usuario standard) y sin su intervencion.

    Esto es lo que estoy buscando y creo que tiene que haber en alguna parte una solucion.

    Saludetes.

    Xavi
    pcero
    lunes, 21 de diciembre de 2009 18:58
  • ......


    Hasta donde conozco, la única forma de que te corra en principio con privilegios elevados sería:

    - Clic derecho en el ejecutable de la aplicación
    - Ir a la pestaña Compatibilidad
    - En donde dice Nivel de privilegio, marcar Ejecutar este programa como administrador
    - Aceptar

    Esto no es recomendable, una aplicación no tendría por qué estar pidiendo privilegios para correr correctamente, y no asegura esto de que deje de mostrarte todos los mensajes, pero sería una posible "solución"
    ....
    Efectivamente no es recomendable por un motivo. Cuando quieras te presento a un gusanito que lo que hace es grabarse en tus documnetos, paran o molestar y luego recorerse el menu para ver a que iconos has autorizado... cuando lo descubre, silenciosamente se mete en ese icono ((ya autorizado) y lo que va a hacer cada vez que lo picbhes, es primero ejecutarse él como administrador e inmediatamente ejecutar tu aplicacion para que no te mosquees... es decir a partir de ese momento, ya hace lo que quiera, se mete como servicio con los privilegios que habias dato a la otra aplicaicon, se mete en el registro para arrancar solo, etc...

    Cuidadito con autorizar aplicaciones...

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 19:08
  • Hola Sergio, gracias por tus comentarios y tambien por supuesto, a Jose Manuel.

    Quizas no me explico, yo no pretendo que una aplicacion se pueda lanzar con privilegios de administrador por un usuario standard, sin entrar la password de administrador. No quiero que el usuario standard la pueda lanzar. No deseo que el usuario standard intervenga para nada.

    Lo que deseo es que yo, administrador del sistema, pueda programar una tarea para lanzar una aplicacion (como WBadmin) que corra siempre a una determinada hora, este usando el sistema quien sea (cualquier usuario standard) y sin su intervencion.

    Esto es lo que estoy buscando y creo que tiene que haber en alguna parte una solucion.

    Saludetes.

    Xavi
    pcero
    Si lo programas en el planificador de tareas... se ejecutará sin necesidad de nada mas...


    Jose Manuel Tella Llop news://jmtella.com

    • Marcado como respuesta Xavier_23 lunes, 21 de diciembre de 2009 20:47
    lunes, 21 de diciembre de 2009 19:09
  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com


    Aprovecho para hacer una pregunta jose, cuando una aplicación solicita permisos y es fiable no habrá ningún problema en instalarla, no? cuando se usa cuenta de usuario estándar esto siempre ocurre.

    tampoco lo habría en utilizar la cuenta de usuario estándar, e instalar desde ella y demás, facilitando la contraseña cuando se solicita? Es que entonces el administrador ni lo usas, entonces no sé exactamente en qué sito queda, para qué cosas se utilizaría, pues yo prescindo totalmente de él.
    Habria que definir el temrino "fiable"... :-)

    Por desgracia casi ninguna: Todas solicitan mas permisos de los necesarios... Dime una aplicacion que solicite elevacion de privilegios y luego si quieres pensamos entre los dos el por qué los necesita. He puesto un ejemplo antes muy burdo, pero real: si una aplicacion como el notepad te solcitiase privilegos ¿no te extrañaria?... sabes perfectamente lo que hace el cuaderno de notas, por tando deberia extrañarte. Ahora extrapola eso a otras aplicaciones uqe has instalado y lo piden ¿realmente lo necesitan?...


    Jose Manuel Tella Llop news://jmtella.com

    Efectivamente, las que piden permisos de administrador una vez ejecutadas no son lo que realmente conocemos por fiable :-P Totalmente de acuerdo. Por ejemplo, ccleaner si mal no recuerdo pide, cobianbackup también, claro, que su reputación es muy dudosa...

    Sin embargo, y del lado de las que sí son limpias, cuando modificas tema de redes en Vmware, te pide elev. de permisos, cuando vas a instalar aplicaciones también te lo pide, en todas las instalaciones (claro, desde la cuenta de usuario estándar)... entonces mi pregunta es, se puede instalar desde usuario estándar y hacer prácticamente todo con él, por tanto, el usuario Administrador llega prácticamente a ser prescindible (yo ni lo toco porque no me hace falta), entonces, podría derivarse algún problema de seguridad por hacer esto de esta manera o es el procedimiento correcto? en qué lugar queda el usuario Administrador?
    lunes, 21 de diciembre de 2009 19:39
  • Es que igual técnicamente estar bajo una cuenta del grupo de administradores y en una estándar es exactamente lo mismo, ya que las dos corren con privilegios de este usuario estándar, la única diferencia es que al administrador se le da un toquen administrador que se divide en dos, con el que arranca es con los del usuario estándar (Todo el explorer.exe, que es el proceso padre corre con este usuario) y se le añade que en la petición de elevación el administrador brinda consentimiento (Permite o deniega) y en cambio el estándar debe pedir credenciales de este administrador para poder realizar la tarea, en últimas siempre se requerirá estos permisos que trae el administrador para poder instalar y ejecutar.

    Además de esto las políticas para los distintos tipos de usuarios.
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 19:54
  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com


    Aprovecho para hacer una pregunta jose, cuando una aplicación solicita permisos y es fiable no habrá ningún problema en instalarla, no? cuando se usa cuenta de usuario estándar esto siempre ocurre.

    tampoco lo habría en utilizar la cuenta de usuario estándar, e instalar desde ella y demás, facilitando la contraseña cuando se solicita? Es que entonces el administrador ni lo usas, entonces no sé exactamente en qué sito queda, para qué cosas se utilizaría, pues yo prescindo totalmente de él.
    Habria que definir el temrino "fiable"... :-)

    Por desgracia casi ninguna: Todas solicitan mas permisos de los necesarios... Dime una aplicacion que solicite elevacion de privilegios y luego si quieres pensamos entre los dos el por qué los necesita. He puesto un ejemplo antes muy burdo, pero real: si una aplicacion como el notepad te solcitiase privilegos ¿no te extrañaria?... sabes perfectamente lo que hace el cuaderno de notas, por tando deberia extrañarte. Ahora extrapola eso a otras aplicaciones uqe has instalado y lo piden ¿realmente lo necesitan?...


    Jose Manuel Tella Llop news://jmtella.com

    Efectivamente, las que piden permisos de administrador una vez ejecutadas no son lo que realmente conocemos por fiable :-P Totalmente de acuerdo. Por ejemplo, ccleaner si mal no recuerdo pide, cobianbackup también, claro, que su reputación es muy dudosa...

    Sin embargo, y del lado de las que sí son limpias, cuando modificas tema de redes en Vmware, te pide elev. de permisos, cuando vas a instalar aplicaciones también te lo pide, en todas las instalaciones (claro, desde la cuenta de usuario estándar)... entonces mi pregunta es, se puede instalar desde usuario estándar y hacer prácticamente todo con él, por tanto, el usuario Administrador llega prácticamente a ser prescindible (yo ni lo toco porque no me hace falta), entonces, podría derivarse algún problema de seguridad por hacer esto de esta manera o es el procedimiento correcto? en qué lugar queda el usuario Administrador?
    No se debe ejecutar NADA con un icono con los permisos elevados desde una cuenta estandar. Si que puede ejecutandolo "cada vez" y autorizando a lo que necesites (siempre y cuando sea de fiar)


    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 20:01
  • Hola a todos,

    Obviamente con UAC activado, y sin tener que facilitar la password de administrador al usuario standard.

    Felices fiestas.

    Xavi
    pcero
    ¿hacer que se ejecute?... pues modificando la aplicacion para que use correctamente las directivas de los privilegios suponiendo que no los necesite. Y si los necesita cuestionar el porqué los necesita.

    Por ejemplo, el notepad (ciaderno de notas) no necesita privilegios administrativos para crear cuentas... necesita poder escribir solo en las carpetas que tenga permiso el usuario, de esta menra el notepad requiere al sistema los privilegios necesarios.

    Siempre es mosqueante, y yo no instlaria, una aplicacion que solicite mas permisos de los necesarios.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com


    Aprovecho para hacer una pregunta jose, cuando una aplicación solicita permisos y es fiable no habrá ningún problema en instalarla, no? cuando se usa cuenta de usuario estándar esto siempre ocurre.

    tampoco lo habría en utilizar la cuenta de usuario estándar, e instalar desde ella y demás, facilitando la contraseña cuando se solicita? Es que entonces el administrador ni lo usas, entonces no sé exactamente en qué sito queda, para qué cosas se utilizaría, pues yo prescindo totalmente de él.
    Habria que definir el temrino "fiable"... :-)

    Por desgracia casi ninguna: Todas solicitan mas permisos de los necesarios... Dime una aplicacion que solicite elevacion de privilegios y luego si quieres pensamos entre los dos el por qué los necesita. He puesto un ejemplo antes muy burdo, pero real: si una aplicacion como el notepad te solcitiase privilegos ¿no te extrañaria?... sabes perfectamente lo que hace el cuaderno de notas, por tando deberia extrañarte. Ahora extrapola eso a otras aplicaciones uqe has instalado y lo piden ¿realmente lo necesitan?...


    Jose Manuel Tella Llop news://jmtella.com

    Efectivamente, las que piden permisos de administrador una vez ejecutadas no son lo que realmente conocemos por fiable :-P Totalmente de acuerdo. Por ejemplo, ccleaner si mal no recuerdo pide, cobianbackup también, claro, que su reputación es muy dudosa...

    Sin embargo, y del lado de las que sí son limpias, cuando modificas tema de redes en Vmware, te pide elev. de permisos, cuando vas a instalar aplicaciones también te lo pide, en todas las instalaciones (claro, desde la cuenta de usuario estándar)... entonces mi pregunta es, se puede instalar desde usuario estándar y hacer prácticamente todo con él, por tanto, el usuario Administrador llega prácticamente a ser prescindible (yo ni lo toco porque no me hace falta), entonces, podría derivarse algún problema de seguridad por hacer esto de esta manera o es el procedimiento correcto? en qué lugar queda el usuario Administrador?
    No se debe ejecutar NADA con un icono con los permisos elevados desde una cuenta estandar. Si que puede ejecutandolo "cada vez" y autorizando a lo que necesites (siempre y cuando sea de fiar)


    Jose Manuel Tella Llop news://jmtella.com

    Vale, entonces de hacer instalaciones y demás en la cuenta estándar, me olvido no?

    Entonces una aplicación por ejemplo que requiera de permisos elevados, debería ejecutarse desde la cuenta de administración? O directamente plantearse uno dejar de usarla?

    A qué te refieres con lo de ejecutarlo "cada vez"?
    lunes, 21 de diciembre de 2009 20:06
  • Pero no entiendo algo, de todas formas no todas las aplicaciones que solicitan elevación son peligrosas, pienso que se debe tener en cuenta es que si se va a dar permisos hay que estar seguro de que el editor es verificado, o es firmado por Windows o es de confianza para Windows (Eso lo refleja el color de la ventana de petición de elevación)
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 20:15
  • Entonces una aplicación por ejemplo que requiera de permisos elevados, debería ejecutarse desde la cuenta de administración? O directamente plantearse uno dejar de usarla?
    Ponme un ejemplo de que aplicacion.

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 20:16
  • Hola a todos,

    Jose Manuel, es que ese es precisamente mi problema, si programo las instrucciones como administrador, en el programador de tareas, solo se ejecutan mientras un usuario con privilegios de administrador esta "logeado". Hasta aqui perfecto.

    Sin embargo, cuando en el sistema esta "logeado" solamente un usuario standard y nadie mas, cuando llega la hora de ejecutar la tarea, el programador de tareas da la orden (se ve perfectamente todo el proceso en el event viewer), WBadmin y VSS se cargan (se ve en el administrador de tareas), pero NO se ejecuta y asi se queda.......ese es mi problema exacto.

    Saludetes.

    Xavi
    pcero
    lunes, 21 de diciembre de 2009 20:52
  • Entonces una aplicación por ejemplo que requiera de permisos elevados, debería ejecutarse desde la cuenta de administración? O directamente plantearse uno dejar de usarla?
    Ponme un ejemplo de que aplicacion.

    Jose Manuel Tella Llop news://jmtella.com

    Virtual Network Editor de Vmware.
    lunes, 21 de diciembre de 2009 20:59
  • Entonces una aplicación por ejemplo que requiera de permisos elevados, debería ejecutarse desde la cuenta de administración? O directamente plantearse uno dejar de usarla?
    Ponme un ejemplo de que aplicacion.

    Jose Manuel Tella Llop news://jmtella.com

    Virtual Network Editor de Vmware.
    Ese si.
    Hombre... usa el sentido comun de lo que se puede y lo que no... :-)  No te preocupes, que el sentido comun no te va a engañar (al menos el tuyo...)


    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 21:10
  • Igual con UAC activado, es muy difícil que pueda haber un Malware se muestre como una ventana que tiene editor verificado y firmado por Windows o es de confianza.
    Siempre desde que sea Azul, sea con escudo dorado o escudo azul es de confianza y firmado para el equipo local por lo que se podría analizar más la confianza hacia este tipo de aplicaciones, en cambio cuando el mensaje es color amarillo por ejemplo ahí si toca tener más cuidado :-)

    Xavier,

    Creo que será muy difícil (Si no es imposible) es que ya lo otro sería que deshabilitaras la protección de UAC (Descartado!) o bien puedes revisar las políticas de grupo, aunque para un usuario estándar sólo te podrían ayudar las que elevan automáticamente cuando es una aplicación validada, tendrías que revisarlas en detalle, si fuera sólo para administradores esl problema estaría resuelto =/

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 21:18
  • Entonces una aplicación por ejemplo que requiera de permisos elevados, debería ejecutarse desde la cuenta de administración? O directamente plantearse uno dejar de usarla?
    Ponme un ejemplo de que aplicacion.

    Jose Manuel Tella Llop news://jmtella.com

    Virtual Network Editor de Vmware.
    Ese si.
    Hombre... usa el sentido comun de lo que se puede y lo que no... :-)  No te preocupes, que el sentido comun no te va a engañar (al menos el tuyo...)


    Jose Manuel Tella Llop news://jmtella.com

    Gracias jose como siempre, máquina. Eso espero, confianza en mi sentido común :-P Entonces jose para instalaciones me paso a cuenta de Administrador o sigo desde la estándar?
    lunes, 21 de diciembre de 2009 21:23
  • Instalaciones desde Administrador.


    Jose Manuel Tella Llop news://jmtella.com

    lunes, 21 de diciembre de 2009 21:33
  • Instalaciones desde Administrador.


    Jose Manuel Tella Llop news://jmtella.com

    Hay alguna diferencia entre si las haces desde administrador o desde cuenta estándar? Para qué utilizas el Administrador (que no puedas hacer o no debas, desde la cuenta estándar)?

    Ya te quedan pocas horitas, ehh??
    lunes, 21 de diciembre de 2009 21:37
  • Instalaciones desde Administrador.


    Jose Manuel Tella Llop news://jmtella.com

    Hay alguna diferencia entre si las haces desde administrador o desde cuenta estándar? Para qué utilizas el Administrador (que no puedas hacer o no debas, desde la cuenta estándar)?

    Ya te quedan pocas horitas, ehh??

    La diferencia notable está en los privilegios que obtiene cada cuenta.
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 21:45
  • Instalaciones desde Administrador.


    Jose Manuel Tella Llop news://jmtella.com

    Hay alguna diferencia entre si las haces desde administrador o desde cuenta estándar? Para qué utilizas el Administrador (que no puedas hacer o no debas, desde la cuenta estándar)?

    Ya te quedan pocas horitas, ehh??

    La diferencia notable está en los privilegios que obtiene cada cuenta.
    Sergio Calderón
    Microsoft Student Partner
    Pero desde la estándar a fin de cuentas puedes hacer todo facilitando contraseñas... Salvo crear nuevas cuentas con permisos de administrador, claro está.
    lunes, 21 de diciembre de 2009 21:48
  • De hecho el propósito principal de UAC es lograr esto, que todos corran con permisos de usuario estándar (Que ahora se hace) y elevar según la petición de consentimiento, lo que marca más entre estas dos cuentas es que desde la estándar tú tienes que enviar credenciales de una cuenta administrativa, de la administrativa tú sólo tienes que brindar o denegar el consentimiento, administrar políticas y cuentas.
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 21:52
  • De hecho el propósito principal de UAC es lograr esto, que todos corran con permisos de usuario estándar (Que ahora se hace) y elevar según la petición de consentimiento, lo que marca más entre estas dos cuentas es que desde la estándar tú tienes que enviar credenciales de una cuenta administrativa, de la administrativa tú sólo tienes que brindar o denegar el consentimiento, administrar políticas y cuentas.
    Sergio Calderón
    Microsoft Student Partner
    Entonces Sergio, si por ejemplo yo me cojo una cuenta estándar y le desactivo el UAC, sería como una cuenta administrativa? La restricción de... en ciertas carpetas de sistema no se puede escribir o ciertas aplicaciones no deben correr pues en estándar no tienen el privilegio suficiente cómo quedaría? se podrían o no hacer esas cosas?

    SAludos y gracias.
    lunes, 21 de diciembre de 2009 22:26
  • De hecho el propósito principal de UAC es lograr esto, que todos corran con permisos de usuario estándar (Que ahora se hace) y elevar según la petición de consentimiento, lo que marca más entre estas dos cuentas es que desde la estándar tú tienes que enviar credenciales de una cuenta administrativa, de la administrativa tú sólo tienes que brindar o denegar el consentimiento, administrar políticas y cuentas.
    Sergio Calderón
    Microsoft Student Partner
    Entonces Sergio, si por ejemplo yo me cojo una cuenta estándar y le desactivo el UAC, sería como una cuenta administrativa? La restricción de... en ciertas carpetas de sistema no se puede escribir o ciertas aplicaciones no deben correr pues en estándar no tienen el privilegio suficiente cómo quedaría? se podrían o no hacer esas cosas?

    SAludos y gracias.

    Hola,

    No por supuesto que no, mira cuando te logueas Windows automáticamente revisa tu cuenta en la base de datos interna que tiene para la seguridad de cuentas y determina qué tipo de cuenta es, entonces si es administrador se le dan dos Token, uno de usuario estándar, y uno con todos los privilegios administrativos, si es un usuario estándar sólo se le da el primer token, por esto así deshabilites el UAC seguirá siendo un usuario estándar y antes ni siquiera podrá elevar las aplicaciones, es decir pasará a ser más restringido que con UAC, lo que no pasa con el administrador, que con ese token administrativo integrado, simplemente eleva o no eleva tenga o no activado el UAC (Desactivado no sería elevar sino simplemente ejecutar con todos los privilegios y sin restricciones)

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 22:31
  • De hecho el propósito principal de UAC es lograr esto, que todos corran con permisos de usuario estándar (Que ahora se hace) y elevar según la petición de consentimiento, lo que marca más entre estas dos cuentas es que desde la estándar tú tienes que enviar credenciales de una cuenta administrativa, de la administrativa tú sólo tienes que brindar o denegar el consentimiento, administrar políticas y cuentas.
    Sergio Calderón
    Microsoft Student Partner
    Entonces Sergio, si por ejemplo yo me cojo una cuenta estándar y le desactivo el UAC, sería como una cuenta administrativa? La restricción de... en ciertas carpetas de sistema no se puede escribir o ciertas aplicaciones no deben correr pues en estándar no tienen el privilegio suficiente cómo quedaría? se podrían o no hacer esas cosas?

    SAludos y gracias.

    Hola,

    No por supuesto que no, mira cuando te logueas Windows automáticamente revisa tu cuenta en la base de datos interna que tiene para la seguridad de cuentas y determina qué tipo de cuenta es, entonces si es administrador se le dan dos Token, uno de usuario estándar, y uno con todos los privilegios administrativos, si es un usuario estándar sólo se le da el primer token, por esto así deshabilites el UAC seguirá siendo un usuario estándar y antes ni siquiera podrá elevar las aplicaciones, es decir pasará a ser más restringido que con UAC, lo que no pasa con el administrador, que con ese token administrativo integrado, simplemente eleva o no eleva tenga o no activado el UAC (Desactivado no sería elevar sino simplemente ejecutar con todos los privilegios y sin restricciones)

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    Perfecto, entiendo.

    O sea que digamos que el UAC amplia las posibilidades del usuario estándar, permitiéndole elevar privilegios de aplicaciones y demás, cosa que sin él, sencillamente ni tendría opción. O sea, que realmente desactivarlo por lo que entiendo no sería peligroso en usuario estándar (SÍ en administrador), porque en el estándar sigue sin tener permiso, pero sin embargo en el Admin, el desactivarlo implicaría un "sí, quiero ejecutar todo con privilegios" y entonces sería donde podría venir el problemón...
    lunes, 21 de diciembre de 2009 22:36
  • Exacto, el UAC aunque no es un AntiMalware o algo así, es importantísimo para la seguridad.
    Lo malo por ejemplo de desactivar el UAC en el estándar, es que como todo usuario podría tener la posibilidad de ejecutar, realizar o no realizar algunas tareas, y el peligro sería demasiado, porque además el UAC tiene tecnología de detección de instalación por lo que fácilmente cualquier malware o demás podría ejecutar silenciosamente.

    El valor agregado es seguridad, sin duda alguna, y no sólo en Windows, sino además en Web con el Modo protegido de Internet Explorer 8.

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 22:41
  • Exacto, el UAC aunque no es un AntiMalware o algo así, es importantísimo para la seguridad.
    Lo malo por ejemplo de desactivar el UAC en el estándar, es que como todo usuario podría tener la posibilidad de ejecutar, realizar o no realizar algunas tareas, y el peligro sería demasiado, porque además el UAC tiene tecnología de detección de instalación por lo que fácilmente cualquier malware o demás podría ejecutar silenciosamente.

    El valor agregado es seguridad, sin duda alguna, y no sólo en Windows, sino además en Web con el Modo protegido de Internet Explorer 8.

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    Entonces, no estoy entendiendo. No se supone que sin el UAC el usuario estándar no podría elevar privilegios, y éstos se necesitan para que se lleve a cabo cualquier instalación?

    El UAC también está relacionado con el Modo Protegido en Internet Explorer?

    Gracias Sergio.
    lunes, 21 de diciembre de 2009 22:57
  • Lo que pasa es que igual un usuario puede ejecutar ciertos componentes o realizar tareas por decirlo mejor sin elevar privilegios puesto que no representan un riesgo potencial, son de confianza o simplemente no escriben en directorios del sistema protegidos (Los importantes). Algo así como ejecutar Notepad, WMPlayer, o un ejemplo el MSRT de Microsoft.

    Como bien lo dices sin UAC, no puede realizar nada que requiera una elevación de privilegios, es decir la mayoría de instalaciones (Casi todas), o ejecución.

    Una prueba por ejemplo mira en la barra de tareas  la configuración de fecha y hora, ahí tu con una cuenta estándar posiblemente podrías entrar y cambiar zona horaria por ejemplo, pero si tu ya quieres cambiar hora y fecha, ya si no tienes credenciales de UAC no podrás hacerlo.

    El modo protegido lo maneja el UAC, así para todo lo que se descargue o ejecute, hay una comprobación igual que la que se hace en el sistema operativo, y de hecho te informa también si es de confianza, de Windows, o de algun editor bloqueado.
    No solo esto, UAC además ayuda en cuentas estándar a proteger nuestros directorios de fallas de escritura (Que las hacen las aplicaciones que NO son compatibles con UAC, y a veces ni con W7 no nos causen tanto daño :-))

    El UAC es un tema bastante largo, y tiene mucho de donde analizar, por esto es que no se ha quitado aun después de las críticas que se dieron al integrarlo en Windows Vista.

    Saludos! 
    Sergio Calderón
    Microsoft Student Partner
    lunes, 21 de diciembre de 2009 23:05
  • Hola a todos,

    Los comentarios que acabo de leer me parecen muy interesantes y tomo nota.

    Retomo el tema del hilo.

    Jose Manuel me comentaba: >>>Si lo programas en el planificador de tareas... se ejecutará sin necesidad de nada mas>>

    Y yo le conteste:

    >>> Jose Manuel, es que ese es precisamente mi problema, si programo las instrucciones como administrador, en el programador de tareas, solo se ejecutan mientras un usuario con privilegios de administrador esta "logeado".

    Sin embargo, cuando en el sistema esta "logeado" solamente un usuario standard y nadie mas, cuando llega la hora de ejecutar la tarea, el programador de tareas da la orden (se ve perfectamente todo el proceso en el historial de la tarea), WBadmin y VSS se cargan (se ve en el administrador de tareas), pero NO se ejecuta y asi se queda.......ese es mi problema exacto>>>

    Alguna idea?.

    Felices fiestas a todos.






    pcero
    martes, 22 de diciembre de 2009 13:21
  • Xavier,

    Creo que será muy difícil (Si no es imposible) es que ya lo otro sería que deshabilitaras la protección de UAC (Descartado!) o bien puedes revisar las políticas de grupo, aunque para un usuario estándar sólo te podrían ayudar las que elevan automáticamente cuando es una aplicación validada, tendrías que revisarlas en detalle, si fuera sólo para administradores esl problema estaría resuelto =/


    Sergio Calderón
    Microsoft Student Partner
    • Marcado como respuesta Xavier_23 martes, 22 de diciembre de 2009 15:14
    • Desmarcado como respuesta Xavier_23 martes, 22 de diciembre de 2009 15:15
    martes, 22 de diciembre de 2009 13:25
  • Hola Sergio,

    A eso me referia cuando afirmaba en un post anterior, el no comprender que yo como administrador, no pueda programar que una aplicacion de la propia Microsoft, del propio sistema, se ejecute sea cual sea el usuario que este conectado.

    No lo entiendo.

    En cualquier caso agradezco tus respuestas.

    Saludetes.
    pcero
    martes, 22 de diciembre de 2009 15:18
  • Hola,

    Como comenté podrías revisar las políticas para el estándar, vas a Políticas de seguridad local, en la carpeta Políticas locales la expandes, y luego abres la que dice Opciones de seguridad.
    A la derecha bajas y buscas las de UAC (Están casi al final), creo que te podría servir la que tiene tecnología de detección de aplicaciones, podrías deshabilitarla, o revisar las otras dos que existen para el estándar, que es elevar automáticamente las que están firmadas y validadas (Podría servir), y la de UIAccess.

    Lo que pasa es que se supone que un usuario estándar no debería poder ejecutar aplicaciones sin un consentimiento, es prevención y seguridad, igual como útlima procede a revisar lo que te comenté, y además marcar la aplicación que corra como administrador en las cuentas estándar y administrador, coméntanos cómo te va.

    Creo que después de esto ya sólo quedaría deshabilitar la protección de UAC.

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    martes, 22 de diciembre de 2009 15:30
  • Hola Sergio,

    La UAC no la quiero desconectar, ya se que si lo hago todo solucionado, pero como tu sabes bien, ese no es el camino.

    Voy a mirar el tema de politicas de seguridad local.

    Te cuento, y gracias por tu interes.

    Xavi
    pcero
    martes, 22 de diciembre de 2009 17:02
  • Hola,

    Lo dices muy bien, ese no es el camino.
    Dale coméntame cómo te va después de la revisión de políticas.

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    martes, 22 de diciembre de 2009 18:00
  • Hola Sergio,

    Me he estado mirando la directiva de seguridad local con detenimiento y por supuesto, hay formas de autorizar a un usuario standard a que ejecute determinados tipos de aplicaciones.

    Pero tambien veo que significa asumir riesgos tanto de seguridad como de la propia ejecucion bienintencionada, pero erronea.

    Sin embargo si que me ha ayudado a recordar una caracterisitica de Windows 7 poco comentada, AppLocker.

    Ese terreno ya me gusta mas, pues en lugar de autorizar sin mas a ejecutar aplicaciones por cuentas, aqui estas autorizando una aplicacion muy concreta, incluso con determinadas delimitaciones.

    No obstante, para mi es un terreno desconocido, no exento de una cierta complejidad.

    Sabes tu algo sobre la utilizacion practica de AppLocker, o alguna fuente donde ilustrarme?

    Saludetes a todos. 
    pcero
    miércoles, 23 de diciembre de 2009 16:32
  • Realmente es relativamente sencillo puesto que Applocker se basa en reglas de instalación, ejecución y scripts, y efectivamente si se hace desde un servidor podrías implementar políticas para tus aplicaciones, pero casi siempre es para que el usuario pueda o no pueda ejecutar, no sé si tú las puedas correr desde tu equipo, aunque no me he adentrado mucho implementándolo por políticas.

    De igual forma claro que hay mucho recurso, mira esto:
    http://www.microsoft.com/click/WindowsTestDrive/ITPro/security/ - Abajo en la parte De Applocker, hay un Lab, y unos videos para que visualices cómo es.

    También en www.microsoft.com/springboard

    Sobre las políticas, son riesgosas, pero si se habilitan sólo para alguna conocida o segura (Tal como lo indica la política) no sería tan peligroso, obviamente están deshabilitadas o habilitadas por algo.

    Saludos,
    Sergio Calderón
    Microsoft Student Partner
    miércoles, 23 de diciembre de 2009 16:44