martes, 27 de diciembre de 2005

Instalar aplicaciones con privilegios de administrador

En un reciente curso que he impartido de Seguridad en entornos Windows 2000/2003 me hicieron una pregunta en relación a la implementación del principio de mínimos privilegios.

Queda muy bonito a nivel teórico decir que el "usuario" siempre debe correr con los mínimos privilegios en el sistema pero luego la practica siempre plantea problemas para poder aplicar este principio básico de seguridad.

Leo vía Michael Millers Blog un truco para permitir la instalación de paquetes msi con diferentes privilegios a los del usuario que esté corriendo gracias al comando "Run As". Para ello, hay que modificar el registro para permitir que la opción run as aparezca con el comando msiexec.

1.- Ejecutar regedit.exe bajo una cuenta con privilegios de administrador

2.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas
3.- Poner el valor por defecto a "Install &as..."

4.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas\command
5.- Poner el valor por defecto a msiexec /i de "%1"

Y listo, ya podremos instalar archivos .msi con privilegios de administrador. Para más información podéis consultar este truco en Michael Millers.
 
;