Microsoft Lync Server
Header

Borrar credenciales almacenadas en nuestro sistema

abril 29th, 2013 | Posted by Santiago Buitrago in Windows Server

Muchos usuarios tienen la "mala costumbre" de almacenar sus contraseña de acceso a Webs, APPs, etc… lo que representa varios problemas:

1. Seguridad: puesto que si alguien accede a nuestro equipo únicamente debe hacer uso de las aplicaciones y accederia a todos nuestros datos (redes sociales, intranets, etc…)
 
2. Si esto lo hacemos en un ambiente de dominio (Active Directory) podemos tener problemas con la política de cambio de contraseña
 
Aun siendo una práctica habitual por parte de muchos usuarios, es algo que debemos evitar puesto que si alguien se conectase a nuestro equipo, con tal solo acceder  las aplicaciones o URLs en donde hemos guardado los datos de inicio de sesión .. ya tendría "acceso" a nuestra información. Vamos a ver primero como podemos eliminar las contraseñas almacenadas en nuestro sistema. Desde Windows XP en adelante, tenemos la posibilidad de ir a inicio – ejecutar  y escribir el siguiejnte comando: control userpasswords2 y se nos abrirá una ventana en donde veremos las contraseñas que tiene almacenadas.
 
Password_Control_2.jpg
Ahora pulsamos en Administrar Contraseñas y nos muestra los datos almacenados: en este caso he almacenado la clave de GMAIL. Si queremos borrar las credenciales, pusalmos en Quitar. (Esta pantalla es de Windows 8 pero es similar en Windows 7)
Password_Control_3.jpg
También podemos acceder a quitar las contraseñas de otra forma, y es ejecutando el siguiente comando desde inicio – ejecutar: rundll32 keymgr.dll, KRShowKeyMgr

Password_Control_4.jpg
Como vemos desde aqui podemos Agregar, Quitar o Editar las claves actuales, además de poder realizar un backup o restaurarlo. Esto nos permite múltiples opciones, pero siempre con mucho cuidado!!! Si queremos hacer un backup de las claves, únicamente pulsamos en Hacer copia de seguridad…
Password_Control_5.jpg
Simplemente le indicamos la ruta en donde queremos almacenar este backup (se recomienda fuera del equipo, un disco USB cifrado, etc..), no solicita que pulsemos CTRL+ALT+SUPR para bloquear el sistema y que solo tengamos accedo a la ventana en donde nos solicita una contraseña para evitar los accesos no autorizados al fichero, básicamente que no podamos restaurar el backup sin concerla.
 
Otra forma de acceder a borrar las contraseñas almacenadas en nuestro sistemas (Windows Vista en adelante), es desde el panel de control: Administrador de credenciales
Password_Control_6.jpg

Tenemos dos opciones, las credenciales que almacenadmos en distintas URLs (Facebook, GMAIL, Twitter, etc…) o aplicaciones Windows (Lync, Outlook, etc..)

 
Credenciales Web
Password_Control_9.jpg

Credenciales Windows

Password_Control_8.jpg
 
si queremos eliminar alguna de las credenciales almacenadas, pulsamos en QUITAR
Password_Control_10.jpg
A nivel de sistemas operativo podemos evitar que los usuarios almacenen las claves de acceso en algunas partes del sistema, para ello debemos disponer como mínimo de la versión profesional de Windows y através de las directivas grupo locales (o de dominio) podemos configurarlo.  Para ello vamos a inicio – ejcutar y escribimos GPEDIT.MSC y se nos abre un MMC con las directivas de grupo locales, y nos vamos a la opción Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Internet Explorer\Autocompletar puede recordar y sugerir nombres de usuario y contraseñas en formularios
 
En este caso debemos Deshabilitar la directiva para que no le permita al usuario guardar contraseñas en los formularios Web ni autocompletar

Password_Control_12.jpg
También podemos evitar que se guarden las contraseñas de las conexiones RDS, para ello vamos a Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Servicios de Escritorio Remoto\Cliente de conexión a Escritorio Remoto\No permitir que se guarden las contraseñas
Password_Control_13.jpg
Esto si lo configuramos en un ambiente de dominio es muy sencillo, se realizarán los mismos cambios pero de manera centralizada y para los 100.000 usuarios de un solo "plumazo". Además, esto en un ambiente de dominio se debería registrir por muchos motivos, uno de ellos son las posibles peticiones a soporte. Me explico, imaginemos que un usuario accede a su intranet (SharePoint por ejemplo) y tiene autenticación integrada, sino se ha configurado correctamente como sitio de Intranet, cuando el usuario accede le solicita las credenciales de acceso. Puede que la primera vez el usuario introduzca las credenciales y poco más, pero cuando cierre el navegador y tenga que volver a iniciarlo … le volverá a solicitar las credenciales. Está claro que a la tercera (si es que llega hasta ahí) el usuario tratará de almacenar las credenciales  para su comodidad. El problema llegará cuando la directiva de cambio de contraseña fuerce al usuario a realizar el cambio de su contraseña actual, tratará de acceder a la intranet y verá un acceso denegado!! y de ahí la llamada a soporte. El problema que tiene el usuario, es que ahora tiene almacenado el usuario y contraseña anterior, y el DC no admite esas credenciales por lo que le denegará el acceso continuamente porque son las que tenemos almacenadas para esa URL. Además, si contamos con un sistema de bloqueos de cuentas … ya os podéis imaginar el efecto colateral de esta configuración. Para poder evitar este comportamiento, lo que primero que debemos hacer es configurar una GPO que añada la URL de nuestras aplicaciones de negocio a sitios de confianza, por defecto cuenta con la siguiente configuración de seguridad:
 
Password_Control_14.jpg
De tal forma al usuario no le presentará el cuadro de autenticación para esas URL, puesto que inicialmente intentará autenticar con las credenciales de su sesión. De esta forma evitamos que el usuario almacene el usuario y contraseña actual y cuando se aplique el cambio obligado de su contraseña … tengamos el problema. Además, otro problema añadido es que los usuarios no administradores no pueden ejecutar los comandos anteriores: rundll32 keymgr.dll, KRShowKeyMgr o control userpasswords2. En el supuesto caso de que el usuario haya almacenado su contraseña, debemos cerrar la sesión del usuario, añadirlo como miembro del grupo de administradores locales, iniciar sesión, ejecutar control userpasswords2 (por ejemplo), quitar la contraseña almacenada, cerrar sesión, quitarlo del grupo de administradores locales e inciar sesión nuevamente, vamos todo un lío para algo que se puede solucionar muy fácilmente.

 
Otra configuración que deberíamos aplicar es la siguiente: Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Explorador de Windows\No solicitar credenciales alternativas

Password_Control_15.jpg
Siempre es recomendable evitar que los usuarios puedan introducir otras credenciales alternativas a las suyas, pero esto sería otro tema largo para comentar…
 
En otro artículo anterior (Plantillas ADMX Office 2013 y Configuración Lync 2013) os había comentado que podemos ampliar las capacidades de las GPO con las plantillas ADMX, y como bien sabeis existen para muchos productos y no solo de Microsoft sino también de terceros. En este caso voy a comentaros las opciones del cliente de Lync, porque también podemos evitar que los usuarios almacenen diferentes credenciales (puesto que por defecto el usuario utilizará la autenticación integrada), aqui tenéis las opciones que debéis habilitar:
 
Opcional y seguramente en muchos no es la adecuada
Office_2013_Template_16.jpg
Y esta esa una de las que aplicaría en función de si el equipo es compartido o no con la misma sesión de usuario (equipo tipo Kiosko)
Office_2013_Template_22.jpg
El problema no se resuelve tenido una sola contraseña para todo, ni ciento de usuarios para todo, es cuestión de concidenciación de la seguridad y siempre implica un "esfuerzo extra! el poder garantizar la seguridad de  nuestros equipos y usuarios. Como véis ya no solo es un problema de acceso a datos no autorizado, o de bloqueos sino más bien de suplantación de identidades con el problema que esto puede causar. Imaginaros que alguien se hace pasar por vosotros ( y sin esfuerzo) accediendo a la intranet de la empresa, y deja un comentario ofensivo hacia tu superior o la propia empresa, es casi imposible saber quien lo ha enviado. Primero porque lo ha hecho de tu sesión (con lo cual el usuario está validado por los DC, está claro que es quien dice ser), lo  hace desde vuestro equipo (en el DC vemos que viene la conexión se origina desde tu equipo (por el nombre o la Ip del equipo), por lo que o tienes una buena justificación de tu ausencia desde el puesto de trabajo … te ha caído  un buen marrón. Está claro que los administradores de tenemos una gran responsabilidad dentro de las empresas, y no solo somos los que os obligamos a cambiar las contraseñas porque queda bonito o fantaseamos con hackers ni cosas parecidas, porque con una simple click en "recordar mi contraseña"  podemos meternos en un problema. Desde luego hay muchas medidas que tomar y mucho trabajo de concienciación que llevar a cabo, no solo a usuarios sino también a muchos administradores. Han quedado muchas coas sin comentar, como bloqueos de equipos, etc… pero la idea inicial de este artículo era otro :-). 
 
Si os parece bien, en próximos artículos iremos viendo más cosillas relacionadas
 
Espero que les sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

4 Responses

  • Juan Luis says:

    Buenas, en primer lugar agradecerte este tipo de artículos tan interesantes. Tengo un comoañero de trabajo que me dice que cuando tiene Lync ejecutado no deja de pedirle autenticarse, aunque tenga activada la casilla de recordar password. Lync permaece activo y operativo… pero a cada momento vuelve a pedirle credenciales. «Se requiere una contraseña de red para la conexión. Gracias!!

    • Buenos días Juan Luis:

      Es posible que quiera/necesite conectarse con los servicios Web de Exchange y en el Exchange no esté configurada la autenticación necesaria. necesitaría más información sobre el problema para tratar de ayudarte. Una vez que cancelas la ventana de usuario y contraseña te funciona Lync sin problema? (menos los servicios Web de Exchange claro), que comportamiento tiene cuando cancelas?

      Un saludo

  • Saludo Santiago, excelentes aportes al tema de Lync, bastante completo el material de consulta, tengo una inquietud, si Lync utiliza el mismo almacen de credenciales de Windows o maneja alguno distinto, pues se me presento un bloqueo de cuenta y basicamente era por Lync, al borrar la credencial guardada e intentar de nuevo iniciar la aplicacion me volvia a bloquear, fue necesario desinstalar completamente la aplicacion y reinstalar de nuevo, pero seria mas facil si encuentro donde se almacena la clave para poder borrarla. Gracias si me puedes apoyar con el tema. Un abrazo!!



Leave a Reply to Santiago Buitrago Cancel reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *