Una excelente prctica en cualquier Sistema Operativo es personalizar las configuraciones,

eliminando las que vienen por defecto, por lo que veremos algunas herramientas que
poseeMicrosoft Windows para elevar los niveles de seguridad en los equipos. Usaremos
la creacin de perfiles de usuarios de equipo como invitados; estos sern asociados un
grupo donde es posible administrarlos y por ltimo, veremos cmo definir polticas -por
ejemplo, denegar la ejecucin de aplicaciones fuera de nuestro control en estos grupos.
Estas buenas prcticas resultan de utilidad en empresas, y tambin benefician a las familias,
protegiendo a los ms chicos en la ejecucin de aplicaciones no deseadas.
Actualmente vemos que a diario surgen nuevas amenazas que afectan a los Sistemas
Operativos. En el contexto hogareo, suele darse que diferentes usuarios usan una misma
computadora y toman distintos recaudos, generando que se pierda el control en la ejecucin
de aplicaciones, lo que podra derivar en la infeccin con distintas amenazas. Es por eso que
en esta entrada veremos tres formas de aumentar la seguridad en equipos con Windows
7 utilizando sus propias herramientas.

Empezando por los privilegios

Un aspecto muy importante en este Sistema Operativo es el de los permisos en los perfiles.
Como en Linux est el sper usuario root, aqu existe la posibilidad de contar con distintas
sesiones de menor cantidad de privilegios; en Windows estas se pueden crear y establecer
permisos para lo que cada uno necesita usar. Esto permite dejar el
usuario Administrador solo para fines de administracin del equipo como instalacin de
aplicaciones o actualizaciones, entre otros.
Para crear un nuevo perfil, se debe ingresar al Panel de Control y all en el cono Cuentas de
usuarios. Una vez dentro se debe acceder a Administrar cuentas y desde ah se podr crear
una. A continuacin veremos un ejemplo con una captura de pantalla:

Sin embargo existe otra alternativa, la cual usaremos para administrar no solo usuarios, sino
tambin grupos. Puede crearse desde el men Administrar, al cual se accede mediante clic
con el botn derecho sobre el cono Mi PC o Equipo como se muestra en la siguiente
captura:

Una vez dentro del men solo basta ir a la carpeta de usuarios para crear uno nuevo. En la
siguiente captura veremos cmo hacerlo:

Tal como vemos en el ejemplo, una vez dentro de la carpeta Usuarios (paso 1) se ven los
perfiles creados en dicho sistema. Para crear el nuevo, solo basta hacer clic con el botn
derecho y seleccionar la primer opcin cmo se muestra en el paso 2.
Un punto a remarcar es que en el ejemplo se muestra el Administrador deshabilitado (lo
indica el smbolo de la flecha apuntando hacia abajo). En este caso particular el primer perfil
creado es llamado Labo, y cuenta con permisos de administrador.
Es muy importante habilitar el Administrador antes de quitar permisos, ya que una vez
hechos los cambios, de requerir permisos de este tipo, simplemente no se tendrn. Por eso es
recomendable habilitarlo y definir una contrasea fuerte y robusta. Para habilitar esta cuenta
Administrador, basta con acceder al mismo y desmarcar La cuenta est deshabilitada como
se muestra a continuacin:

Una vez que se accede a crear el nuevo usuario, se muestra una ventana como vemos a
continuacin:

Aqu se definen el nombre con el cual se iniciar la sesin (Usuario), junto con su respectiva
contrasea de inicio de sesin, en conjunto con otras opciones para activar. Crear diferentes
sesiones permite crear grupos y administrarlos a todos por igual, facilitando la tarea como
veremos un poco ms adelante.

Trasladando los permisos a las carpetas

Una vez creadas las respectivas sesiones para cada persona que usar la computadora, como
Administrador, se pueden definir los permisos en diferentes directorios para tener (o denegar)
acceso de escritura o lectura. En esta parte veremos cmo restringir a los invitados, para
que no puedan crear ni modificar archivos en un determinado directorio dentro del disco C
(raz).
Para esto se debe hacer clic con el botn derecho en el directorio a modificar los permisos, en
este caso lo haremos con la carpeta llamada CarpetaPrueba dentro disco C. Una vez
desplegado el men, debe accederse a Propiedades tal como lo muestra la siguiente captura
de pantalla:

Dentro del men de propiedades deben seguirse algunos pasos, los cuales mostraremos con
una captura de pantalla a continuacin para su mejor comprensin:

1.

En primer lugar se debe acceder a la solapa Seguridad

2.

El segundo paso es marcar el grupo a restringir

3.

Una vez seleccionado el grupo, se debe hacer clic en el botn Editar el cual abrir
una nueva ventana donde permitir editar los permisos

4.

Esta nueva ventana muestra los que posee este conjunto de usuarios en este
directorio, donde tambin se puede permitir o denegar permisos. En este caso, para el
ejemplo, decidimos denegar todos los permisos para que los invitados de este grupo no
tengan acceso.

De esta forma, al intentar crear una carpeta dentro del disco C, esto es denegado por polticas
de permisos como vemos a continuacin:

Puede verse que el usuario creado al principio ya no cuenta con permisos para acceder en el
directorio creado por el Administrador en la raz (disco C).

Permisos y polticas en grupos de usuarios

De la misma forma que vimos cmo crear usuarios al principio, se pueden crear los grupos
para incluirlos y administrarlos. En el hipottico caso de que varias personas usen diferentes
perfiles para acceder al ordenador y usar sus aplicaciones, esto puede restringirse
mediante polticas al grupo asociado. Para hacer esto es necesario ingresar a:
Panel de control > Todos los elementos de Panel de control >
Herramientas administrativas > Directivas de Seguridad Local

Para este ejemplo crearemos una regla para denegar la ejecucin de todas las aplicaciones
a los usuarios dentro del grupo HogarProtegido, dentro del cual hemos puesto a todos
excepto a Administrador. Basta con hacer clic con el botn derecho para crear una nueva
regla, como en la captura de pantalla a continuacin:

El primer paso en esta instancia es acceder a Reglas ejecutables (nmero 1); en el panel
derecho se crea la regla (nmero 2) y luego se puede acceder a ella para ver su configuracin
(nmero 3). Aqu se puede ver el nombre que la identifica. La accin de la misma es
Denegar, en este caso, la ejecucin de aplicaciones. Por ltimo vemos a qu grupo se aplica
esta politica (grupo local Labo-PC\HogarProtegido). Cabe destacar que tambin pueden
aadirse excepciones, como por ejemplo permitir usar el navegador y aplicaciones
ofimticas.

Una vez realizado esto se debe acceder a la carpeta Niveles de seguridad, en la cual se
preestablecer automticamente la configuracin de seguridad:

En el panel derecho basta con posicionarse sobre el nivel deseado y hacer clic derecho para
establecerlo como predeterminado. En este caso predeterminamos el nivel No permitido
para ver su comportamiento.
Despus habr que posicionarse sobre el directorio Directivas de restriccin de software
como se marca con el nmero 1. En segundo lugar, sobre la ventana derecha hacer doble clic
en Cumplimiento (numero 2) donde aparecer una ventana como la siguiente:

Dentro de la ventana marcada con el nmero 3, pueden usarse configuraciones como la de

aplicar directivas de restriccin a todos los usuarios excepto a los administradores locales,
entre otras que pueden apreciarse.
Una vez aplicadas estas reglas, cualquiera de los perfiles pertenecientes a este grupo
(HogarProtegido), al intentar ejecutar cualquier aplicacin ver un mensaje como el siguiente:

Como puede verse, gracias a la poltica establecida se evit la ejecucin del navegador.

Pero para qu sirve todo esto?

Este tipo de configuraciones son las que hacen que el Sistema Operativo se vuelva ms
fuerte y robusto, sobre todo cuando el equipo es utilizado por varias personas y si su dueo
desconoce la actividad que cada una de estas realizan con el ordenador.
Tambin es una muy buena forma de reducir las infecciones de malware en el equipo,
permitiendo controlar qu aplicaciones utilizan las dems personas.
Esto puede volverse muy til a la hora de aplicar restricciones en aplicaciones para el cuidado
de los ms pequeos, ya que desde esta seccin se puede bloquear el uso de aplicaciones
podran poner en riesgo la integridad del equipo o el mundo digital de los nios.
Llevndolo a un escenario real, un padre podra bloquear la ejecucin de juegos pero permitir
la ejecucin de herramientas ofimtica para realizar trabajos del colegio. De esta forma,
reducira el tiempo de distraccin en juegos por parte del joven, en combinacin con control
parental en el uso de Internet, que podra lograr el uso ms productivo del equipo para los
jvenes.
Como consejo debemos decir que es muy recomendable, como dueo de un equipo, utilizar
estos perfiles con mnimos privilegios.

En resumen, buenas configuraciones en conjunto con buenas prcticas y tecnologas de

seguridad, fortalecern la seguridad de los equipos y la informacin. Desde el Laboratorio de
Investigacin de ESET Latinoamrica alentamos a hacer estas configuraciones para fortalecer
la seguridad de Windows.
Crditos imagen: Juan Crlos Cabrera/Flickr