En un reciente post en el blog de Microsoft, el equipo de seguridad de la empresa compartió algunos consejos para mejorar la gestión de indentidad dentro de las empresas, prácticas que ellos mismos llevan a cabo dentro de su propia red interna y que recomiendan a sus clientes.
Si bien se trata de consejos orientados a las redes empresariales, no dejan de ser útiles e informativos para cualquier usuario, especialmente en el caso de las cuentas de administrador que tan libremente se usan en Windows por una gran parte de los usuarios.
Los de Redmond se centran principalmente en tres áreas para evitar que la identidad de algún usuarios se vea comprometida: asegurar las cuentas de administrador, eliminar las contraseñas, y simplificar el aprovisionamiento de identidades.
La cuenta de administrador no debería tener acceso a Internet
En Microsoft explican que los administradores de sus sistemas tienen acceso a los datos más sensibles sobre sus sistemas, lo que los convierte en el objetivo principal de los atacantes, es por ello que en su organización y en cualquier otra es importante limitar el número de personas que tienen privilegios elevados de acceso, además de controlar dónde, cómo y cuándo las cuenta de administrador pueden usarse.
La empresa recomienda tres práctica primordiales: la primera es establecer un dispositivo separado para las tareas administrativas, y que ese dispositivo siempre esté actualizado y parcheado con el software y el sistema operativo más reciente. Otro detalle importante es que los controles de seguridad sean altos y se impida que las tareas administrativas sean ejecutadas remotamente.
La segunda es aislar la identidad del administrador, es decir, la identidad de esos usuarios debe ser creada desde un espacio de nombres separado que no pueda acceder a Internet y que además sea diferente a la información de identidad del empleado.
Y finalmente, no debe existir acceso persistente, es decir, las cuentas de administrador no deben tener ningún privilegio por defecto. Microsoft recomienda requerir que las cuentas soliciten privilegios JIT (_just in time_), es decir, que les dan acceso por una cantidad finita de tiempo que además se registre en un sistema.
Tú tampoco deberías usar una cuenta de administrador
Puede que tú no seas una empresa u organización, pero como usuario personal tampoco es recomendable que uses por defecto la cuenta de administrador de Windows.
Si te preguntas por qué, es simple, esa facilidad que te ofrece el tener activa la cuenta de administrador porque te deja hacer de todo, quiere decir que cualquier cosas que instales o se instale sin que te des cuenta, también tendrá privilegios elevados de todo el sistema.
De hecho, algunos estudios han culpado a las cuentas de administrador de la mayoría de los problemas de seguridad de Windows. Por eso lo recomendable es siempre tener una cuenta sin privilegios elevados para el día a día, y solo usar la cuenta de administrador para eso: para tareas administrativas del sistema.
Ver 7 comentarios