Programa MVP

http://mvp.support.microsoft.com

Trabajar como administrador: navegar y

recibir correo más seguro.
Enero 2005

Microsoft no se hace responsable de las modificaciones que los programas, a los que este
documento hace referencia, realicen en el sistema operativo del usuario o en las distintas
aplicaciones instaladas. Así mismo queremos informarle que estos programas no disponen
de soporte por parte de Microsoft si no que este será ofrecido en las condiciones que se
indiquen por parte de sus creadores, los cuales son los únicos responsables de la
disponibilidad y mantenimiento futuro de los mismos.

Abstract

Este documento da a conocer los pasos que podemos realizar para poder
navegar y recibir correo con privilegios de usuario, aún cuando hemos
iniciado sesión como Administrador.

Navegar y recibir correo más seguro 1

 Programa MVP
http://mvp.support.microsoft.com

Contenidos
INTRODUCCIÓN...................................................................................3

Usuarios que desean ejecutar programas como administradores 4

DropMyrights........................................................................................5

Complementos para IE:

PrivBar de Aaron Margosis...................................................... 6

Shells:

Launch Safer de Hofi...............................................................10

RunAsAdmin Explorer Shim de Valery Pryamikov..............12

Ejemplos............................................................................................15

Navegar y recibir correo más seguro 2

 Programa MVP
http://mvp.support.microsoft.com

INTRODUCCIÓN

Seguro que alguna vez hemos oido el archiconocido consejo de no trabajar

como Administrador en nuestro equipo, o lo hemos leído en alguna web,
alguna presentación de seguridad, etc... y más cuando vamos a conectarnos
a Internet para navegar o bajarnos el correo. ¿Por qué?. Bien, el trabajar con
una cuenta de administrador comporta el nivel máximo de privilegios y esto
muchas veces es causa suficiente para que cualquier Activex o código
malicioso en páginas web o los adjuntos en el correo, o correos que no sean
simple texto aprovechen cualquier vulnerabilidad conocida para ejecutar
código en nuestra máquina con nuestro usuario ( en este caso con
privilegios de administrador), y con ello, acceder y modificar las carpetas del
sistema e incluso el registro. Así pues uno de los primeros pasos sería iniciar
con una cuenta de usuario o usuario limitado para tales menesteres, aparte
claro está de contar con un antivirus y algún que otro vigilante anti spyware.
Esto, aunque parece sencillo de decir e incluso de hacer, representa
un problema para muchos usuarios y seguro que más de uno aducirá
algunas de las consecuencias de trabajar como usuario y no como
administrador, por ejemplo la instalación y/o ejecución de programas.
Bien, pues vamos a intentar establecer ciertas pautas para que tanto
unos, los que necesitan ejecutar aplicaciones con privilegios más altos,
como los otros, los que desean ejecutarlas con privilegios más bajos,
dependiendo de cómo han iniciado la sesión y sus necesidades, obtengan lo
que quieren.

Navegar y recibir correo más seguro 3

 Programa MVP
http://mvp.support.microsoft.com

Usuarios que necesitan ejecutar aplicaciones como administradores.

Trabajando como usuarios, en aquéllas ocasiones en que necesitemos

ejecutar aplicaciones, o instalarlas, sin tener que cerrar la sesión e iniciar
como administrador, podemos utilizar “RunAs” o “Ejecutar como” (en
castellano), normalmente se nos mostrará en el menú contextual al hacer
clic con el botón derecho sobre el ejecutable, o también podemos crear un
acceso directo a la aplicación o ejecutable y las propiedades del mismo
establecer Ejecutar con diferentes credenciales (Pestaña Acceso Directo,
botón Avanzadas, marcar la casilla correspondiente) y hacerlo como
administrador.

Navegar y recibir correo más seguro 4

 Programa MVP
http://mvp.support.microsoft.com

DropMyRights

La idea parte de Michael Howard *, que ha publicado un par de artículos en

msdn al respectoii donde nos presenta DropMyRights, su uso y algunos
complementos y Setsafer como alternativa. Michael nos indica como puede
ayudarnos DropMyRights a seguir trabajando como administrador y ejecutar
las aplicaciones como usuarios, también nos muestra algún ejemplo de la
diferencia de trabajar como administrador y usuario.

Veamos DropmyRights:
Su uso es sencillo, nos bajamos DropMyRights y lo extraemos en una
carpeta, quedando listo para utilizar. Ahora sólo hemos de crear los accesos
directos introduciendo la ruta del ejecutable y la de la aplicación, por ejemplo
Internet Explorer:
“C:\DropMyRights\DropMyRights.exe” “C:\Archivos de programa\Internet
Explorer\IEXPLORE.EXE”

Cuando pulsemos en el Acceso directo estaremos utilizando IE con

privilegios de usuario, aunque hayamos iniciado sesión como Administrador.

Podremos observar visualmente su funcionamiento en IE gracias a un

complemento de Aaron Margosis y que el propio Michael nos recomienda y
que veremos en el siguiente apartado.

*
http://blogs.msdn.com/michael_howard/archive/2004/12/23/331606.aspx

ii
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp
http://msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/
secure01182005.asp

Navegar y recibir correo más seguro 5

 Programa MVP
http://mvp.support.microsoft.com

Complementos:
PrivBar

El complemento de Aaron Margosis i PrivBar es para IE, añade una barra

que nos mostrará con que privilegios se está ejecutando (además de alguna
información sobre los mismos).

En su blog, también encontraremos diversas utilidades para ejecutar

aplicaciones como administrador.

¿Cómo instalamos y usamos PrivBar?

- Descargamos el complemento, que va en un archivo zip, desde el link ii

del propio Aaron.
- Extraeremos PrivBar.dll a una carpeta con acceso a todos los usuarios.
- Abrimos una ventana cmd y procedemos
a registrar la dll: regsvr32 path\
PrivBar.dll (siendo path la ruta donde se
encuentra). Recibiremos el mensaje de
su registro:

- Extraeremos PrivBarReg.reg del zip y lo

importaremos al registro, un doble clic
sobre el archivo y se nos mostrará la
ventana de comprobación y en cuanto
aceptemos, la que nos informará que ha
sido importado correctamente.

i
http://blogs.msdn.com/aaron%5Fmargosis/
ii
http://www.speakeasy.org/~aaronmar/NonAdmin/PrivBar.zip

Navegar y recibir correo más seguro 6

 Programa MVP
http://mvp.support.microsoft.com

- Una vez completado el registro de la dll y la importación en el registro del

reg comprobaremos la configuración de IE (sobe todo si se trata de
Windows 2003), en concreto que se encuentre activada la opción de
extensiones del navegador de terceros.

- Seguidamente abrimos IE, y desde el

menú Ver seleccionaremos la opción
Barras de Herramientas, allí debe
aparecer la barra PrivBar, la cual
podemos añadir al IE. Si deseamos
cambiar su ubicación, seleccionaremos
desbloqueo y procederemos a colocarla
en el lugar que deseemos.

Navegar y recibir correo más seguro 7

 Programa MVP
http://mvp.support.microsoft.com

Como podemos observar en la siguiente

imagen el IE se está ejecutando con los
privilegios del grupo de administradores.

Navegar y recibir correo más seguro 8

 Programa MVP
http://mvp.support.microsoft.com

Pulsando sobre el círculo rojo de la barra,

se nos muestra una ventana con
información ampliada.

Si probamos el Acceso directo creado bajo

DropMyRights:

Navegar y recibir correo más seguro 9

 Programa MVP
http://mvp.support.microsoft.com

La barra muestra un círculo de distinto color y además indica que IE se

ejecuta con los privilegios del grupo users, si pulsamos sobre el mismo y
como en el caso anterior, se nos muestra información ampliada.

Navegar y recibir correo más seguro 10

 Programa MVP
http://mvp.support.microsoft.com

Shells
Launch Safer de Hofi

Hofii ha diseñado un shell que se añade al menu contextual y no es

necesario crear accesos directos, tan sólo hacer clic derecho sobre el
programa a ejecutar y elegir con que privilegios queremos hacerlo.

Nos descargamos HshellExtPack_StdAlone0.3.0.zip y la instalamos.

- Si estuviesemos utilizando una versión anterior debemos desregistrarla

antes de registrar ésta, con el parámetro /U del comando regsvr32 path\
librería.
- Copiamos HshellExtPack_StdAlone.dll y Launcher.exe en una carpeta y
procedemos a registrar la primera.
- Para que además de funcionar con ejecutables lo pueda hacer por
ejemplo, con links, debemos añadir el path hacia launcher.exe en la
sección PATH de las variables de entorno (clic derecho MI PC,
propiedades, avanzadas, variables de entorno).

Finalizada la instalación y configuración, el shell se nos ha añadido al menú

contextual, en el que vemos:

Menu “Launch Safer...”

Esta función inspirada en DropMyRights nos permite lanzar programas, vía
HshellExtPack, con privilegios bajos, si estamos utilizando Windows como
Administrador (no demasiado recomendable).
El menú muestra los siguientes ítems:
- Normal : Ejecutara la aplicación como Normal user.
- Constrained : Ejecutará la aplicación como Constrained user.
- Untrusted : Ejecutará la aplicación como Untrusted user. Aquí puede
ocurrir que algunas aplicaciones de error.

Menu “Launch At Priority...”

Esta función nos sirve para seleccionar la prioridad de ejecución del
programa y los ítems son:

- Normal
- Above normal
- Bellow normal
- High
- Idle
- Real time

i
http://www1.freeweb.hu/hofi/Programming/Vcl/VclComponents.php#1

Navegar y recibir correo más seguro 11

 Programa MVP
http://mvp.support.microsoft.com

El Shell sólo mostrará ítems si se

selecciona un archivo y no mostrará
ninguno si la selección fuese múltiple.

Navegar y recibir correo más seguro 12

 Programa MVP
http://mvp.support.microsoft.com

RunAsAdmin Explorer Shim de Valery Pryamikov

Basado en las ideas de Michael Howard (DropMyRights) y de Aaron

Margosis (MakeMeAdmin), Valery Pryamikov i ha diseñado otro shell, en este
caso se añade un icono al systray, dándonos varias opciones, entre los
idiomas podemos encontrar el español y catalán, y al que le ha puesto el
nombre de RunAsAdmin Explorer Shim, y que se puede descargar de
http://sourceforge.net/projects/runasadmin/.

El archivo binario se llama explorer.exe, debemos copiarlo y ejecutarlo

desde una carpeta distinta a Windows, por ejemplo: \Shim y además
debemos iniciar sesión como administradores.
Desde una cmd ejecutarmos el explorer con el parámetro /i, explorer.exe /i,
para registrarlo o con el parámetro /r, explorer.exe /r, para lo contrario.

Si lo instalamos, debemos salir de la sesión y volver a iniciarla, es necesario

para aplicar los cambios.
Lo correcto es que en el momento de volver a iniciar sesión se nos muestre
una ventana solicitando con qué privilegios ha de ejecutarse el Shell de
Windows por defecto, os recomiendo seleccionar sin ninguna restricción,
para luego ejecutar las aplicaciones con los que queramos.

Ahora se nos muestra un icono en el systray, si pasamos el ratón por encima

una etiqueta nos mostrará el nivel de privilegios actual.

Si pulsamos el botón derecho sobre el icono accederemos al menú

contextual, si lo hacemos con el botón izquierdo nos muestra directamente la
ventana de ejecución.

El menú contextual se compone de:

Aquí nos aparece el menú, por

defecto en inglés aunque podemos
cambiarlo desde Options, “Ejecutar
como” al que accedemos
directamente si hacemos click sobre
el icono, las “opciones”, “Acerca de”
Shim, “cerrar” el menú y “salir” de la
aplicación.
Desde opciones cambiamos el
idioma, en este caso selecciono
i
http://www.harper.no/valery

Navegar y recibir correo más seguro 13

 Programa MVP
http://mvp.support.microsoft.com

español, y pulso OK. Desde ahora

por defecto tendremos el español.

El resto de opciones nos muestra la posibilidad de cambiar los privilegios por

defecto del shell de windows y si el inicio es interactivo.

Así pues, para ejecutar una aplicación o programa podemos pulsar

directamente sobre el icono o seleccionando la opción “Ejecutar como” del
menú contextual (botón derecho).
La única diferencia en dicha ventana es su
título, el cual cambiará según los
privilegios que hayamos seleccionado.

Escribiremos la ruta del ejecutable o pulsaremos el botón buscar para

localizarlo, luego pulsaremos OK.

Para poder observar su funcionamiento,

podemos probarlo con el IE y verlo en la
barra PrivBar.

Navegar y recibir correo más seguro 14

 Programa MVP
http://mvp.support.microsoft.com

NOTA: La aplicación necesita una librería que debería estar presente en el

directorio system32, si aparece la ventana de advertencia de que no se
encuentra, podeis buscarla y registrarla, tanto en system32 como en el
mismo directorio de Explorer Shim.

Navegar y recibir correo más seguro 15

 Programa MVP
http://mvp.support.microsoft.com

Viendo unos ejemplos

1. Creando un acceso directo con privilegios de usuario para outlook

express.
2. Creando un acceso directo con privilegios de usuario para Internet
Explorer.
3. Utilizando Launch Safer con outlook express.
4. Utilizando Launch Safer con Internet Explorer.
5. Utilizando RunAsAdmin Explorer Shim con outlook express.
6. Utilizando RunAsAdmin Explorer Shim con Internet Explorer.

1.1) Ya tenemos DropMyRights descargado y extraído en una carpeta

llamada igualmente que cuelga del directorio Raíz C:\ (por supuesto
podemos extraerlo en otro sitio, si fuese así sólo hemos de tener en
cuenta la ruta o path del ejecutable DropMyRights.exe). Y por otro
lado doy por supuesto que trabajamos como administrador de nuestra
máquina.
1.2)Ahora y siguiendo los pasos de crear
un acceso directo, vamos a crear uno
para abrir outlook express con
privilegios de usuario.
Pulsamos con el botón derecho del ratón
sobre una zona vacía del escritorio y
apuntamos a la opción Nuevo.

Nos aparecerán varias opciones, nosotros

seleccionamos, acceso directo.

Navegar y recibir correo más seguro 16

 Programa MVP
http://mvp.support.microsoft.com

Se nos mostrara el asistente para crear un

acceso directo, ahora hemos de elegir la
ubicación del elemento que deseamos
ejecutar. En este caso, msimn.exe,
pudiendo utilizar el botón examinar para
encontrar su ubicación, o si la conocemos,
escribirla directamente. Normalmente se
encuentra en "C:\Archivos de programa\Outlook
Express\msimn.exe" o si se trata de un
sistema en otro idioma, el equivalente a
Archivos de Programa, por ejemplo si
fuese inglés sería Program Files.

Pulsaremos siguiente y se nos solicita un

nombre para dicho acceso.

Pulsamos en Finalizar y tenemos en el

escritorio un acceso directo para outlook
express con el nombre que hemos definido.

Ahora se trata de hacer que DropMyRights

actúe en dicho acceso, lo hubiesemos podido
hacer en el mismo instante de creación del
acceso pero aquí lo configuramos después.
Clic derecho sobre el acceso creado y
pulsamos en propiedades, comprobamos que
la pestaña Acceso directo es la que se nos
muestra y que en Destino está la ruta del
ejecutable del outlook express que
introducimos al crearlo.
Se trata de añadir la ruta del
DropMyRights.exe antes de la del outlook
express y separadas por un espacio en
blanco, ambas rutas entrecomilladas, o sea,
quedará:
“ruta dropmyrights.exe” “ruta outlook express”

Navegar y recibir correo más seguro 17

 Programa MVP
http://mvp.support.microsoft.com

En este caso,
"C:\DropMyRights\DropMyRights.exe" "C:\Archivos de
programa\Outlook Express\msimn.exe"

Como seguramente se nos cambiará el icono

del acceso, sólo hemos de pulsar el botón de
Cambiar Icono e ir a la ruta del msimn.exe
elegimos uno de los iconos de outlook
express y listo.
Ya tenemos un acceso directo al programa
lector de correo outlook express donde se
ejecutará con los privilegios de simple
usuario.

2) El proceso para crear un acceso directo a Internet Explorer es idéntico al

que hemos utilizado para el outlook Express, teniendo en cuenta que en este
caso el ejecutable de IE se encuentra normalmente en una ruta diferente y
que quedaría como sigue:
"C:\DropMyRights\DropMyRights.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

Navegar y recibir correo más seguro 18

 Programa MVP
http://mvp.support.microsoft.com

3) De hecho trabajar con Launch Safer es

de lo más sencillo e intuitivo que hay, si
hemos seguido el procedimiento para su
instalación y configuración y ya lo
tenemos registrado y activo, sólo hemos
de hacer clic derecho sobre el ejecutable
deseado o sobre un acceso a dicho
ejecutable, seleccionar del menú
contextual Launch Safer y pulsar en los
privilegios con los que deseamos
ejecutarlo, en ese caso, Normal.

4) Con IE nos encontramos dos leves diferencias con el resto de ejecutables,

por una parte el icono que normalmente tenemos en el escritorio no nos
sirve, es decir, hemos de crear un acceso a IEXPLORER.exe distinto para
que nos muestre el menú de Safer, mientras que por otra parte, y si hemos
configurado el add on PrivBar, aquí siempre sabremos con que privilegios se
está ejecutando con sólo observar la información de PrivBar.

5) Con RunAsAdmin Explore Shim hemos de tener en cuenta ¿con qué shell
por defecto funciona?, mi recomendación es No restringido y seguir con la

Navegar y recibir correo más seguro 19

 Programa MVP
http://mvp.support.microsoft.com

pauta de trabajar como administrador y ejecutar los diversos programas

puntualmente con los privilegios de usuario cuando queramos.
Por lo demás es tan sencillo como
hacer clic en el icono de Shim en el
systray y seleccionar con qué privilegios:

Se nos mostrará la ventana de ejecución

con el título según los privilegios elegidos
y sólo hemos de indicar la ruta al outlook
express, o buscarla utilizando el botón
buscar.

6) Para IE sólo hemos de indicar la ruta del mismo para ejecutarlo con
dichos privilegios.

Navegar y recibir correo más seguro 20