Cerrar
InicioCuriosidadesBorrar credenciales almacenadas en nuestro sistema

Borrar credenciales almacenadas en nuestro sistema

Muchos usuarios tienen la “mala costumbre” de almacenar sus contraseña de acceso a Webs, APPs, etc… lo que representa varios problemas:

1. Seguridad: puesto que si alguien accede a nuestro equipo únicamente debe hacer uso de las aplicaciones y accederia a todos nuestros datos (redes sociales, intranets, etc…)
2. Si esto lo hacemos en un ambiente de dominio (Active Directory) podemos tener problemas con la política de cambio de contraseña
Aun siendo una práctica habitual por parte de muchos usuarios, es algo que debemos evitar puesto que si alguien se conectase a nuestro equipo, con tal solo acceder  las aplicaciones o URLs en donde hemos guardado los datos de inicio de sesión .. ya tendría “acceso” a nuestra información. Vamos a ver primero como podemos eliminar las contraseñas almacenadas en nuestro sistema. Desde Windows XP en adelante, tenemos la posibilidad de ir a inicio – ejecutar  y escribir el siguiejnte comando: control userpasswords2 y se nos abrirá una ventana en donde veremos las contraseñas que tiene almacenadas.
Password_Control_2.jpg
Ahora pulsamos en Administrar Contraseñas y nos muestra los datos almacenados: en este caso he almacenado la clave de GMAIL. Si queremos borrar las credenciales, pusalmos en Quitar. (Esta pantalla es de Windows 8 pero es similar en Windows 7)
Password_Control_3.jpg
También podemos acceder a quitar las contraseñas de otra forma, y es ejecutando el siguiente comando desde inicio – ejecutar: rundll32 keymgr.dll, KRShowKeyMgr
Password_Control_4.jpg
Como vemos desde aqui podemos Agregar, Quitar o Editar las claves actuales, además de poder realizar un backup o restaurarlo. Esto nos permite múltiples opciones, pero siempre con mucho cuidado!!! Si queremos hacer un backup de las claves, únicamente pulsamos en Hacer copia de seguridad…
Password_Control_5.jpg
Simplemente le indicamos la ruta en donde queremos almacenar este backup (se recomienda fuera del equipo, un disco USB cifrado, etc..), no solicita que pulsemos CTRL+ALT+SUPR para bloquear el sistema y que solo tengamos accedo a la ventana en donde nos solicita una contraseña para evitar los accesos no autorizados al fichero, básicamente que no podamos restaurar el backup sin concerla.
Otra forma de acceder a borrar las contraseñas almacenadas en nuestro sistemas (Windows Vista en adelante), es desde el panel de control: Administrador de credenciales

Password_Control_6.jpg

Tenemos dos opciones, las credenciales que almacenadmos en distintas URLs (Facebook, GMAIL, Twitter, etc…) o aplicaciones Windows (Lync, Outlook, etc..)

Credenciales Web

Password_Control_9.jpg

Credenciales Windows

Password_Control_8.jpg
si queremos eliminar alguna de las credenciales almacenadas, pulsamos en QUITAR
Password_Control_10.jpg
A nivel de sistemas operativo podemos evitar que los usuarios almacenen las claves de acceso en algunas partes del sistema, para ello debemos disponer como mínimo de la versión profesional de Windows y através de las directivas grupo locales (o de dominio) podemos configurarlo.  Para ello vamos a inicio – ejcutar y escribimos GPEDIT.MSC y se nos abre un MMC con las directivas de grupo locales, y nos vamos a la opción Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Internet Explorer\Autocompletar puede recordar y sugerir nombres de usuario y contraseñas en formularios
En este caso debemos Deshabilitar la directiva para que no le permita al usuario guardar contraseñas en los formularios Web ni autocompletar
Password_Control_12.jpg
También podemos evitar que se guarden las contraseñas de las conexiones RDS, para ello vamos a Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Servicios de Escritorio Remoto\Cliente de conexión a Escritorio Remoto\No permitir que se guarden las contraseñas
Password_Control_13.jpg
Esto si lo configuramos en un ambiente de dominio es muy sencillo, se realizarán los mismos cambios pero de manera centralizada y para los 100.000 usuarios de un solo “plumazo”. Además, esto en un ambiente de dominio se debería registrir por muchos motivos, uno de ellos son las posibles peticiones a soporte. Me explico, imaginemos que un usuario accede a su intranet (SharePoint por ejemplo) y tiene autenticación integrada, sino se ha configurado correctamente como sitio de Intranet, cuando el usuario accede le solicita las credenciales de acceso. Puede que la primera vez el usuario introduzca las credenciales y poco más, pero cuando cierre el navegador y tenga que volver a iniciarlo … le volverá a solicitar las credenciales. Está claro que a la tercera (si es que llega hasta ahí) el usuario tratará de almacenar las credenciales  para su comodidad. El problema llegará cuando la directiva de cambio de contraseña fuerce al usuario a realizar el cambio de su contraseña actual, tratará de acceder a la intranet y verá un acceso denegado!! y de ahí la llamada a soporte. El problema que tiene el usuario, es que ahora tiene almacenado el usuario y contraseña anterior, y el DC no admite esas credenciales por lo que le denegará el acceso continuamente porque son las que tenemos almacenadas para esa URL. Además, si contamos con un sistema de bloqueos de cuentas … ya os podéis imaginar el efecto colateral de esta configuración. Para poder evitar este comportamiento, lo que primero que debemos hacer es configurar una GPO que añada la URL de nuestras aplicaciones de negocio a sitios de confianza, por defecto cuenta con la siguiente configuración de seguridad:
Password_Control_14.jpg
De tal forma al usuario no le presentará el cuadro de autenticación para esas URL, puesto que inicialmente intentará autenticar con las credenciales de su sesión. De esta forma evitamos que el usuario almacene el usuario y contraseña actual y cuando se aplique el cambio obligado de su contraseña … tengamos el problema. Además, otro problema añadido es que los usuarios no administradores no pueden ejecutar los comandos anteriores: rundll32 keymgr.dll, KRShowKeyMgr o control userpasswords2. En el supuesto caso de que el usuario haya almacenado su contraseña, debemos cerrar la sesión del usuario, añadirlo como miembro del grupo de administradores locales, iniciar sesión, ejecutar control userpasswords2 (por ejemplo), quitar la contraseña almacenada, cerrar sesión, quitarlo del grupo de administradores locales e inciar sesión nuevamente, vamos todo un lío para algo que se puede solucionar muy fácilmente.
Otra configuración que deberíamos aplicar es la siguiente: Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Explorador de Windows\No solicitar credenciales alternativas
Password_Control_15.jpg
Siempre es recomendable evitar que los usuarios puedan introducir otras credenciales alternativas a las suyas, pero esto sería otro tema largo para comentar…
En otro artículo anterior (Plantillas ADMX Office 2013 y Configuración Lync 2013) os había comentado que podemos ampliar las capacidades de las GPO con las plantillas ADMX, y como bien sabeis existen para muchos productos y no solo de Microsoft sino también de terceros. En este caso voy a comentaros las opciones del cliente de Lync, porque también podemos evitar que los usuarios almacenen diferentes credenciales (puesto que por defecto el usuario utilizará la autenticación integrada), aqui tenéis las opciones que debéis habilitar:
Opcional y seguramente en muchos no es la adecuada
Office_2013_Template_16.jpg
Y esta esa una de las que aplicaría en función de si el equipo es compartido o no con la misma sesión de usuario (equipo tipo Kiosko)
Office_2013_Template_22.jpg
El problema no se resuelve tenido una sola contraseña para todo, ni ciento de usuarios para todo, es cuestión de concidenciación de la seguridad y siempre implica un “esfuerzo extra! el poder garantizar la seguridad de  nuestros equipos y usuarios. Como véis ya no solo es un problema de acceso a datos no autorizado, o de bloqueos sino más bien de suplantación de identidades con el problema que esto puede causar. Imaginaros que alguien se hace pasar por vosotros ( y sin esfuerzo) accediendo a la intranet de la empresa, y deja un comentario ofensivo hacia tu superior o la propia empresa, es casi imposible saber quien lo ha enviado. Primero porque lo ha hecho de tu sesión (con lo cual el usuario está validado por los DC, está claro que es quien dice ser), lo  hace desde vuestro equipo (en el DC vemos que viene la conexión se origina desde tu equipo (por el nombre o la Ip del equipo), por lo que o tienes una buena justificación de tu ausencia desde el puesto de trabajo … te ha caído  un buen marrón. Está claro que los administradores de tenemos una gran responsabilidad dentro de las empresas, y no solo somos los que os obligamos a cambiar las contraseñas porque queda bonito o fantaseamos con hackers ni cosas parecidas, porque con una simple click en “recordar mi contraseña”  podemos meternos en un problema. Desde luego hay muchas medidas que tomar y mucho trabajo de concienciación que llevar a cabo, no solo a usuarios sino también a muchos administradores. Han quedado muchas coas sin comentar, como bloqueos de equipos, etc… pero la idea inicial de este artículo era otro :-).
Si os parece bien, en próximos artículos iremos viendo más cosillas relacionadas
Espero que les sea de utilidad!!!
Lync 2013 Web Schedu
¿Qué certificados

sbuytrago@asirsl.com

4 COMENTARIOS
  • mey / 23 septiembre, 2020

    en mi caso no me funciono solo realizar los pasos aquí planteados, tuve que REIINICIAR los SERVICIOS de las credenciales para que dejara de recordarlas.

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This