Muchos usuarios tienen la "mala costumbre" de almacenar sus contraseña de acceso a Webs, APPs, etc… lo que representa varios problemas:
1. Seguridad: puesto que si alguien accede a nuestro equipo únicamente debe hacer uso de las aplicaciones y accederia a todos nuestros datos (redes sociales, intranets, etc…)
2. Si esto lo hacemos en un ambiente de dominio (Active Directory) podemos tener problemas con la política de cambio de contraseña
Aun siendo una práctica habitual por parte de muchos usuarios, es algo que debemos evitar puesto que si alguien se conectase a nuestro equipo, con tal solo acceder las aplicaciones o URLs en donde hemos guardado los datos de inicio de sesión .. ya tendría "acceso" a nuestra información. Vamos a ver primero como podemos eliminar las contraseñas almacenadas en nuestro sistema. Desde Windows XP en adelante, tenemos la posibilidad de ir a inicio – ejecutar y escribir el siguiejnte comando: control userpasswords2 y se nos abrirá una ventana en donde veremos las contraseñas que tiene almacenadas.
Ahora pulsamos en Administrar Contraseñas y nos muestra los datos almacenados: en este caso he almacenado la clave de GMAIL. Si queremos borrar las credenciales, pusalmos en
Quitar. (Esta pantalla es de Windows 8 pero es similar en Windows 7)
También podemos acceder a quitar las contraseñas de otra forma, y es ejecutando el siguiente comando desde inicio – ejecutar: rundll32 keymgr.dll, KRShowKeyMgr
Como vemos desde aqui podemos Agregar, Quitar o Editar las claves actuales, además de poder realizar un backup o restaurarlo. Esto nos permite múltiples opciones, pero siempre con mucho cuidado!!! Si queremos hacer un backup de las claves, únicamente pulsamos en Hacer copia de seguridad…
Simplemente le indicamos la ruta en donde queremos almacenar este backup (se recomienda fuera del equipo, un disco USB cifrado, etc..), no solicita que pulsemos CTRL+ALT+SUPR para bloquear el sistema y que solo tengamos accedo a la ventana en donde nos solicita una contraseña para evitar los accesos no autorizados al fichero, básicamente que no podamos restaurar el backup sin concerla.
Otra forma de acceder a borrar las contraseñas almacenadas en nuestro sistemas (Windows Vista en adelante), es desde el panel de control: Administrador de credenciales
Tenemos dos opciones, las credenciales que almacenadmos en distintas URLs (Facebook, GMAIL, Twitter, etc…) o aplicaciones Windows (Lync, Outlook, etc..)
Credenciales Web
Credenciales Windows
si queremos eliminar alguna de las credenciales almacenadas, pulsamos en QUITAR
A nivel de sistemas operativo podemos evitar que los usuarios almacenen las claves de acceso en algunas partes del sistema, para ello debemos disponer como mínimo de la versión profesional de Windows y através de las directivas grupo locales (o de dominio) podemos configurarlo. Para ello vamos a inicio – ejcutar y escribimos GPEDIT.MSC y se nos abre un MMC con las directivas de grupo locales, y nos vamos a la opción Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Internet Explorer\Autocompletar puede recordar y sugerir nombres de usuario y contraseñas en formularios
En este caso debemos Deshabilitar la directiva para que no le permita al usuario guardar contraseñas en los formularios Web ni autocompletar
También podemos evitar que se guarden las contraseñas de las conexiones RDS, para ello vamos a
Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Servicios de Escritorio Remoto\Cliente de conexión a Escritorio Remoto\No permitir que se guarden las contraseñas
Esto si lo configuramos en un ambiente de dominio es muy sencillo, se realizarán los mismos cambios pero de manera centralizada y para los 100.000 usuarios de un solo "plumazo". Además, esto en un ambiente de dominio se debería registrir por muchos motivos, uno de ellos son las posibles peticiones a soporte. Me explico, imaginemos que un usuario accede a su intranet (SharePoint por ejemplo) y tiene autenticación integrada, sino se ha configurado correctamente como sitio de Intranet, cuando el usuario accede le solicita las credenciales de acceso. Puede que la primera vez el usuario introduzca las credenciales y poco más, pero cuando cierre el navegador y tenga que volver a iniciarlo … le volverá a solicitar las credenciales. Está claro que a la tercera (si es que llega hasta ahí) el usuario tratará de almacenar las credenciales para su comodidad. El problema llegará cuando la directiva de cambio de contraseña fuerce al usuario a realizar el cambio de su contraseña actual, tratará de acceder a la intranet y verá un acceso denegado!! y de ahí la llamada a soporte. El problema que tiene el usuario, es que ahora tiene almacenado el usuario y contraseña anterior, y el DC no admite esas credenciales por lo que le denegará el acceso continuamente porque son las que tenemos almacenadas para esa URL. Además, si contamos con un sistema de bloqueos de cuentas … ya os podéis imaginar el efecto colateral de esta configuración. Para poder evitar este comportamiento, lo que primero que debemos hacer es configurar una GPO que añada la URL de nuestras aplicaciones de negocio a sitios de confianza, por defecto cuenta con la siguiente configuración de seguridad:
De tal forma al usuario no le presentará el cuadro de autenticación para esas URL, puesto que inicialmente intentará autenticar con las credenciales de su sesión. De esta forma evitamos que el usuario almacene el usuario y contraseña actual y cuando se aplique el cambio obligado de su contraseña … tengamos el problema. Además, otro problema añadido es que los usuarios no administradores no pueden ejecutar los comandos anteriores: rundll32 keymgr.dll, KRShowKeyMgr o control userpasswords2. En el supuesto caso de que el usuario haya almacenado su contraseña, debemos cerrar la sesión del usuario, añadirlo como miembro del grupo de administradores locales, iniciar sesión, ejecutar control userpasswords2 (por ejemplo), quitar la contraseña almacenada, cerrar sesión, quitarlo del grupo de administradores locales e inciar sesión nuevamente, vamos todo un lío para algo que se puede solucionar muy fácilmente.
Siempre es recomendable evitar que los usuarios puedan introducir otras credenciales alternativas a las suyas, pero esto sería otro tema largo para comentar…
Y esta esa una de las que aplicaría en función de si el equipo es compartido o no con la misma sesión de usuario (equipo tipo Kiosko)
lyncADM.zip
