¿Cómo configurar y administrar cuentas de usuario, contraseñas y credenciales en Windows 10 o Windows 11?

Antes de que pueda comenzar a trabajar con un dispositivo que ejecuta Microsoft Windows 10, debe iniciar sesión con las credenciales para una cuenta de usuario que está autorizada para usar ese dispositivo. Las cuentas de usuario son una piedra angular esencial de la seguridad de Windows y son clave para proporcionar una experiencia de usuario personalizada. Como administrador, usted determina qué cuentas de usuario pueden iniciar sesión en un dispositivo específico. Además, puede configurar cuentas de usuario en un dispositivo Windows 10 para lograr los siguientes objetivos:

• Controle el acceso a archivos y otros recursos.
• Eventos del sistema de auditoría, como firmantes y el uso de archivos y otros recursos.
• Sincronización de archivos y configuraciones entre diferentes computadoras al iniciar sesión con la misma cuenta.
• Inicie sesión automáticamente para enviar un correo electrónico y otros servicios en línea.
• Requiere que cada usuario proporcione una prueba adicional de su identidad (también conocida como autenticación multifactor) al iniciar sesión por primera vez en un nuevo dispositivo.

Las credenciales asociadas con una cuenta de usuario consisten en un nombre de usuario y una contraseña que sirven como identificación y, en teoría, se aseguran de que nadie pueda usar la computadora o ver archivos, mensajes de correo electrónico y otros datos personales asociados con una cuenta de usuario a menos que ellos '' Re autorizado para hacerlo.
Si su computadora está en una ubicación aparentemente segura donde solo las personas en las que confía tienen acceso físico a ella, puede tener la tentación de permitir que los miembros de la familia o compañeros de trabajo compartan su cuenta de usuario. Tenemos precaución contra el uso de esa configuración y, en su lugar, le recomendamos que cree una cuenta de usuario para cada persona que usa la computadora. Hacerlo permite que cada cuenta acceda a su propio perfil de usuario y almacene archivos personales y preferencias de usuario dentro de ese perfil. Con la conmutación rápida del usuario, una característica descrita en este capítulo, puede cambiar entre cuentas de usuario con solo unos pocos clics.
Con el hardware correcto y alguna configuración inicial, puede iniciar sesión e iniciar sesión sin tener que ingresar sus credenciales completas. La función Windows Hello le permite iniciar sesión con información biométrica, como el reconocimiento facial o un lector de huellas digitales. En este capítulo, también explicamos cómo puede usar la aplicación Microsoft Authenticator en un dispositivo móvil confiable para iniciar sesión en una cuenta de Microsoft o una cuenta de anuncios de Azure sin tener que ingresar una contraseña.

Creación y administración de cuentas de usuario

Cuando configura Windows 10 por primera vez en una nueva computadora (o en una PC con una instalación limpia de Windows), el programa de configuración crea un perfil para una cuenta de usuario, que es una cuenta de administrador. (Una cuenta de administrador es una que tiene control total sobre la computadora. Para más detalles, consulte "Cuentas de usuario y grupos de seguridad" al final de este capítulo). Dependiendo del tipo de cuenta que seleccione durante la configuración, esa cuenta inicial puede ser una Cuenta de Microsoft, una cuenta de Azure Active Directory (Azure AD) o una cuenta de usuario local. Un cuarto tipo de cuenta de usuario, una cuenta en un dominio local de Active Directory, solo está disponible en una red administrada después de que se crea esta cuenta local inicial y se une a la máquina al dominio. (Para obtener información sobre las diferencias entre estos tipos de cuenta, consulte la siguiente sección, "Elegir un tipo de cuenta").
Si se actualiza a Windows 10 desde Windows 7 o Windows 8.1 y tenía cuentas locales configuradas en su sistema operativo anterior, Windows migra esas cuentas a su instalación de Windows 10. Estas cuentas migradas mantienen las membresías y contraseñas de su grupo.
Después de iniciar sesión por primera vez, puede ir a Configuración> Cuentas para crear nuevas cuentas de usuario y realizar cambios de rutina en las cuentas existentes. La página de su información proporciona una descripción general de su cuenta, similar a la que se muestra en la Figura 11-1.

Figura 11-1 La página de su información ofrece una descripción general de su cuenta de usuario junto con las herramientas que los administradores pueden usar para administrar todas las cuentas asociadas con el dispositivo actual.
Encontrará diferentes opciones y configuraciones en cuentas dependiendo del tipo de cuenta que use (cuenta de Microsoft, cuenta publicitaria de Azure o una cuenta local), ya sea que su cuenta sea miembro del grupo de administradores y, si su computadora se une a Un dominio: políticas grupales vigentes. En una computadora unida a un dominio de Active Directory, toda la administración de cuentas de usuario más allá de las tareas básicas, como seleccionar una imagen, normalmente se maneja a nivel de dominio.
Encontrará algunas configuraciones relacionadas con la cuenta en el encabezado de cuentas de usuario en el panel de control de la vieja escuela, que se muestra en la Figura 11-2. Varias de estas configuraciones duplican funciones que están disponibles en Configuración> Cuentas.

La Figura 11-2 visitar esta página del panel de control de la vieja escuela rara vez es necesario, ya que la mayoría de las opciones para crear y administrar cuentas están disponibles en la aplicación de configuración moderna.
Puede agregar una nueva cuenta solo desde la página de cuentas en Configuración. Puede eliminar una cuenta o cambiar su tipo de esa ubicación o su contraparte del panel de control.
Todas las opciones esotéricas a lo largo del lado izquierdo de la página de cuentas de usuario, así como la opción Cambiar Configuración de control de la cuenta del usuario, solo están disponibles en el panel de control.
Elegir un tipo de cuenta
Como mencionamos anteriormente, Windows 10 admite cuatro tipos de cuentas diferentes.
Cuenta de Microso
Cuando configura una nueva cuenta en un dispositivo que ejecuta Windows 10, las opciones predeterminadas le alientan encarecidamente que inicie sesión con una cuenta de Microsoft. Probablemente haya usado cuentas de Microsoft durante años, tal vez sin siquiera saberlo. Si se ha registrado para un servicio de Microsoft, incluido Outlook.com (o su predecesor, Hotmail), Microsoft 365 Family o Personal, Skype o Xbox Live, ya tiene una cuenta de Microsoft. Cada dirección de correo electrónico que termina con hotmail.com, msn.com, live.com o outlook.com es, por definición, una cuenta de Microsoft.
Durante la configuración, puede ingresar la dirección de correo electrónico asociada con una cuenta de Microsoft existente, o puede crear una nueva dirección de correo electrónico en el dominio Outlook.com. Sin embargo, no necesita registrarse en una dirección de Microsoft para crear una cuenta de Microsoft; Puede configurar una cuenta de Microsoft utilizando una dirección de correo electrónico personal existente de cualquier proveedor de correo electrónico, incluidos Gmail y otros servicios no Microsoft.
Iniciar sesión con una cuenta de Microsoft le permite sincronizar la configuración de PC entre varias computadoras. Si usa más de una PC, por ejemplo, una PC de escritorio en el trabajo, un escritorio diferente en el hogar, una computadora portátil para viajar y una tableta alrededor de la casa, firmando con una cuenta de Microsoft le permite usar sin esfuerzo el mismo fondo de escritorio, almacenado, almacenado. Contraseñas, imagen de cuenta, configuración de accesibilidad, etc. La sincronización ocurre automáticamente y casi al instante.
Algunas características en Windows 10, incluida la configuración de OneDrive y la familia, requieren el uso de una cuenta de Microsoft o una cuenta publicitaria de Azure. Es posible usar OneDrive y otros servicios que dependen de una cuenta de Microsoft, incluso si inicia sesión en Windows con una cuenta local. Sin embargo, en esta configuración, debe iniciar sesión en cada servicio individualmente, y algunas características pueden no estar disponibles o menos convenientes de usar.
En circunstancias normales, asociará una sola dirección de correo electrónico personal con su cuenta de Microsoft y usará esa dirección para iniciar sesión en Windows. Pero debido a que cada cuenta de Microsoft admite hasta 10 alias de correo electrónico, puede usar cualquier alias asociado con su dirección principal para iniciar sesión usando su cuenta de Microsoft.
Para administrar los alias de cuenta de Microsoft, visite https://account.live.com/names/manage e inicie sesión con su cuenta de Microsoft. En el encabezado de alias de cuenta, haga clic en Agregar correo electrónico para crear un nuevo alias o utilizar una dirección de correo electrónico personal existente como alias. (Haga clic en Agregar número de teléfono para usar un número de teléfono móvil como nombre de usuario). Después de verificar la dirección de correo electrónico adicional, puede convertirla en la dirección principal y, si lo desea, eliminar la dirección anterior. (Cada alias usa la misma contraseña que la cuenta original).
Según el encabezado de preferencias de inicio de sesión, también puede cambiar la configuración de los alias de correo electrónico para que no se pueda utilizar un alias específico para iniciar sesión en su cuenta de Microsoft. Esa precaución le permite usar alias para enviar y recibir correo electrónico, pero evita que se usen para acceder a su cuenta de Microsoft.

Cuenta local

Una cuenta local es una que almacena sus credenciales de inicio de sesión y otros datos de cuenta en su PC. Una cuenta local solo funciona en una sola computadora. No requiere una dirección de correo electrónico como nombre de usuario, ni se comunica con un servidor externo para verificar las credenciales.
Este tipo de cuenta fue el estándar en Windows durante décadas. En Windows 10, Microsoft recomienda el uso de una cuenta de Microsoft en lugar de una cuenta de usuario local para PC que no forman parte de una red comercial administrada. Pero usar una cuenta de Microsoft no es un requisito; Las cuentas locales aún son totalmente compatibles.
Es posible que prefiera una cuenta local si su red de hogar o pequeña empresa incluye computadoras que ejecutan Windows 7 o antes (es decir, versiones que no admiten explícitamente el uso de cuentas de Microsoft). Para obtener más detalles, consulte "Compartir archivos, impresoras y otros recursos a través de una red local" en el Capítulo 13, "Windows Redworking".
Además, algunas personas tienen preocupaciones de seguridad de privacidad y datos sobre almacenar información personal sobre los servidores de una gran corporación, ya sea que esa infraestructura sea administrada por Microsoft, Google, Apple, Amazon u otro proveedor de la nube. Iniciar sesión con una cuenta local minimiza la cantidad de información que su PC intercambia con los servidores de Microsoft.
Puede cambiar entre usar una cuenta de Microsoft y una cuenta local yendo a Configuración> Cuentas> Su información. En esta página (que se muestra anteriormente en la Figura 11-1), haga clic en Iniciar sesión con una cuenta local en su lugar. Windows lo lleva a través de algunos pasos simples para crear una cuenta local, que luego usará para iniciar sesión.
Si actualmente se registra usando una cuenta local, el enlace en esa página lee Iniciar sesión con una cuenta de Microsoft en su lugar. Haga clic en ese enlace para reemplazar su cuenta local con una cuenta de Microsoft. Como parte de hacer el cambio, debe ingresar su contraseña local una vez más. Unas pocas pantallas más tarde, está conectado a una cuenta de Microsoft existente o una nueva que cree. A partir de ese momento, inicia sesión usando su cuenta de Microsoft.

Cuenta de Azure Active Directory

El tercer tipo de cuenta, disponible durante la configuración inicial de Windows 10 Pro, Enterprise o Education, es una cuenta laboral o escolar que utiliza Azure Active Directory.
Azure AD ofrece algunas de las ventajas de una cuenta de Microsoft, incluido el soporte para la autenticación de dos factores y el inicio de sesión único a los servicios en línea, equilibrados por la capacidad de los administradores de la red para imponer restricciones utilizando el software de gestión. Estas cuentas son más comunes en empresas y escuelas de tamaño mediano y de gran tamaño.
Las organizaciones que se suscriben a los servicios en línea centrados en negocios de Microsoft, incluidas las ediciones empresariales o empresariales de Microsoft 365 (anteriormente conocidos como Office 365), Microsoft Intune y Microsoft Dynamics CRM en línea, tienen servicios automáticamente Azure AD como parte de su suscripción. Cada cuenta de usuario en ese servicio tiene automáticamente una entrada correspondiente de Azure AD Directory.
Puede conectar una cuenta de anuncios de Azure a una nueva instalación de Windows 10 durante la configuración inicial de Windows 10, como explicamos en "Realizar una instalación limpia", en el Capítulo 2, "Instalar, configurar e implementar Windows 10".
También puede asociar un dispositivo Windows 10 con Azure AD después de que se haya configurado para usar una cuenta local o una cuenta de Microsoft. Para lograr esta tarea, vaya a Configuración> Cuentas> Acceda al trabajo o la escuela, y luego haga clic en Conectar. El cuadro de diálogo resultante, que se muestra aquí, le ofrece dos opciones:

La opción predeterminada le permite continuar usando su cuenta de Microsoft o su cuenta local para iniciar sesión en Windows y simplemente conecta su cuenta de anuncios de Azure para un acceso más fácil a los servicios de Microsoft 365, incluido el correo electrónico en línea de Exchange y Onedrive para negocios. Si ese es su objetivo, haga clic en Siguiente y siga las indicaciones.
Si desea reconfigurar la PC para que inicie sesión en Windows usando su cuenta de anuncios de Azure, no ingrese una dirección de correo electrónico en el cuadro de diálogo Configuración de un trabajo o cuenta escolar; En su lugar, haga clic en el enlace Azure Active Directory en la parte inferior de ese cuadro de diálogo. Esa opción abre el cuadro de diálogo que se muestra en la Figura 11-3. Después de iniciar sesión en el uso de sus credenciales publicitarias de Azure, tiene una última oportunidad de confirmar que desea iniciar sesión con las credenciales de su organización y permitir que los administradores apliquen políticas a su dispositivo.

Figura 11-3 Ingrese las credenciales desde una cuenta de Azure Active Directory, como una suscripción empresarial de Microsoft 365 o Office 365, para unirse al dispositivo a ese directorio.
Después de conectar una PC Windows 10 con Azure AD, puede ver y editar su perfil de usuario yendo a Configuración> Cuentas> Su información y haciendo clic en Administrar mi cuenta. Puede usar las opciones en la página de perfil para solicitar un restablecimiento de contraseña y administrar la configuración de autenticación de múltiples factores. La pestaña Aplicaciones incluye cualquier aplicación que haya sido configurada por su administrador para un solo firma.

Cuenta de dominio de Active Directory

En organizaciones con dominios de Windows que ejecutan servicios de Active Directory, los administradores pueden unirse a una PC al dominio, creando una cuenta de máquina de dominio. (Esta opción solo está disponible con ediciones de Windows 10 Pro, Enterprise o Education. Cubrimos este tipo de cuenta más completamente en el Capítulo 17, "Gestión de PC de negocios".

Cambiar la configuración de la cuenta

Con opciones en Configuración y panel de control, puede hacer cambios en su propia cuenta o en la cuenta de otro usuario.
Para cambiar su propia cuenta, vaya a Configuración> Cuentas> Su información, que se muestra anteriormente en la Figura 11-1. Aún más rápido: abra el inicio, haga clic o toque la imagen de su cuenta en la parte superior de la columna de los iconos a la izquierda, y luego elija Cambiar la configuración de la cuenta.
Aquí, puede cambiar la imagen de su cuenta, ya sea navegando para un archivo de imagen o utilizando su cámara web para tomar una foto. Si inicia sesión con una cuenta de Microsoft, el enlace Administrar mi cuenta de Microsoft abre su navegador web predeterminado y carga la página de su cuenta en https://account.microsoft.com. En esa página, puede cambiar su contraseña o editar el nombre asociado con su cuenta de Microsoft. Haga clic en otros enlaces en la parte superior de la página para revisar sus suscripciones y almacenar compras, cambiar sus opciones de pago y obtener información sobre otros dispositivos asociados con su cuenta de Microsoft. También puede establecer opciones de seguridad y privacidad, que discutimos con más detalle más adelante en este capítulo.
Si ha agregado uno o más usuarios a su computadora, usted (como administrador de computadoras) puede hacer cambios en la cuenta de cada uno de esos usuarios. (Para obtener información sobre cómo agregar usuarios, consulte "Agregar un usuario a su computadora" más adelante en este capítulo).
Para cambiar el tipo de cuenta de un usuario, vaya a Configuración> Cuentas> Familia y otros usuarios. (En una PC donde ha iniciado sesión en el uso de Azure AD, esta configuración es otros usuarios).
Haga clic en el nombre de la cuenta que desea cambiar y haga clic en Cambiar el tipo de cuenta. Sus opciones son usuario o administrador estándar. Para obtener más detalles, consulte "Cuentas de usuario y grupos de seguridad" más adelante en este capítulo.
Si la persona firma una cuenta de Microsoft, no hay otros cambios que pueda hacer. (No puede hacer cambios en la cuenta de Microsoft de otra persona en https://account.microsoft.com.) Para los usuarios que inician sesión con una cuenta de usuario local, puede hacer algunos cambios adicionales, pero debe comenzar desde las cuentas de los usuarios en el panel de control (que se muestra anteriormente en la Figura 11-2). Haga clic en Administrar otra cuenta y luego haga clic en el nombre de la cuenta que desea cambiar. Puede hacer los siguientes cambios:

• Nombre de la cuenta El nombre que está cambiando aquí es el nombre completo, que es el que aparece en la pantalla de inicio de sesión, en el menú Inicio y en las cuentas de usuario.
• Contraseña Puede crear una contraseña y almacenar una pista que proporcione un recordatorio para una contraseña olvidada. Si la cuenta ya está protegida con contraseña, puede usar cuentas de usuario para cambiar la contraseña o eliminar la contraseña.
• Tipo de cuenta Sus opciones aquí son las mismas que en Configuración> Cuentas: Administrador (que agrega la cuenta al Grupo Administradores) o al usuario estándar (que agrega la cuenta al grupo de usuarios).

Si inicia sesión con una cuenta de usuario local, puede realizar los siguientes cambios adicionales en su propia cuenta (es decir, la que actualmente se registra) haciendo clic en los enlaces en el panel izquierdo:

• Administre sus credenciales Este enlace abre Credential Manager, donde puede administrar las credenciales almacenadas que utiliza para acceder a los recursos y sitios web de la red. Tenga en cuenta que las credenciales web guardadas solo se pueden utilizar en Internet Explorer y el navegador Legacy Microsoft Edge. El nuevo Microsoft Edge, basado en el motor Chromium, tiene su propia tienda de credenciales guardadas e ignora este.
• Cree un disco de restablecimiento de contraseña Este enlace, disponible solo cuando se registra con una cuenta local, inicia el asistente de contraseña olvidada, desde el cual puede crear una herramienta de restablecimiento de contraseña en los medios extraíbles. Como alternativa, las actualizaciones recientes de Windows 10 le permiten recuperarse de una contraseña perdida utilizando respuestas para restablecer preguntas.
• Administre sus certificados de cifrado de archivos Este enlace abre un asistente que puede usar para crear y administrar certificados que habiliten el uso del sistema de archivos de cifrado (EFS). EFS, que está disponible solo en ediciones Pro y Enterprise de Windows 10, es un método para encriptar carpetas y archivos para que solo puedan ser accedidos por alguien que tenga las credenciales apropiadas.
• Configurar propiedades avanzadas del perfil de usuario Este enlace se utiliza para cambiar su perfil entre un perfil local (uno que se almacena en la computadora local) y un perfil de roaming (uno que se almacena en un servidor de red en un entorno de dominio). Con un perfil local, termina con un perfil diferente en cada computadora que usa, mientras que un perfil de roaming es el mismo independientemente de la computadora que use para iniciar sesión en la red. Los perfiles de roaming requieren una red de dominio que ejecuta los servicios de Windows Server Active Directory. Las cuentas de Microsoft y las cuentas de anuncios de Azure utilizan un mecanismo diferente para sincronizar la configuración.
• Cambie mis variables de interés de entorno principalmente a los programadores, este enlace abre un cuadro de diálogo en el que puede crear y editar variables de entorno disponibles solo para su cuenta de usuario; Además, puede ver las variables de entorno del sistema, que están disponibles para todas las cuentas.

Eliminar una cuenta

Como administrador local, puede eliminar cualquier cuenta local o cuenta de Microsoft configurada en una PC de Windows 10, a menos que esa cuenta esté actualmente iniciada. Para eliminar una cuenta, vaya a Configuración> Cuentas> Familia y otros usuarios (la opción familiar es No disponible, y esta categoría se llama simplemente otros usuarios, si se registra usando una cuenta de anuncios de Azure), y haga clic en el nombre de la cuenta que desea eliminar. Luego haga clic en Eliminar. Windows luego advierte sobre las consecuencias de eliminar una cuenta, como se muestra en la Figura 11-4.

Figura 11-4 Antes de hacer clic en Eliminar cuenta y datos, asegúrese de haber guardado los datos locales que no desee perder.
Después de eliminar una cuenta, por supuesto, ese usuario ya no puede iniciar sesión. Eliminar una cuenta también tiene otro efecto que debe tener en cuenta: no puede restaurar el acceso a los recursos que actualmente se comparten con el usuario simplemente recreando la cuenta . Esto incluye archivos compartidos con el usuario y los archivos cifrados del usuario, los certificados personales y las contraseñas almacenadas para sitios web y recursos de red. Esto se debe a que esos permisos están vinculados al identificador de seguridad original del usuario (SID), no al nombre de usuario. Incluso si crea una nueva cuenta con el mismo nombre, contraseña, etc., tendrá un nuevo SID, que no obtendrá acceso a nada que estuviera restringido a la cuenta de usuario original.

Hacer que el proceso de inicio de sesión sea más seguro

Como señalamos en la sección anterior, cada cuenta en una PC con Windows 10 está respaldada por un conjunto de credenciales, que comprende un nombre de usuario (que podría o no estar en forma de dirección de correo electrónico) y una contraseña. Puede usar esas credenciales para iniciar sesión en su cuenta en una PC con Windows 10: en la pantalla de inicio de sesión, seleccione su nombre (si aún no está seleccionado) e ingrese una contraseña.
Iniciar sesión con una contraseña segura puede ser inconveniente, especialmente cuando es largo y consiste en una combinación de letras, números y caracteres especiales en minúsculas y caracteres especiales. El grado de dificultad se vuelve aún más extremo cuando necesita ingresar esa contraseña segura en un dispositivo donde el teclado físico no está disponible.
Para que el proceso de inicio de sesión sea más conveniente sin sacrificar la seguridad, Windows 10 admite varias opciones que puede usar en lugar de la contraseña de su cuenta. La Figura 11- 5 muestra la gama completa de alternativas, que puede encontrar yendo a Configuración> Cuentas> Opciones de inicio de sesión.

Figura 11-5 Algunas opciones en la página de opciones de inicio de sesión requieren hardware adicional. Por ejemplo, las dos opciones biométricas de Hello Windows Hello están disponibles solo si tiene una cámara infrarroja compatible o un lector de huellas digitales.
Las primeras tres opciones en la lista se aplican a Windows Hello, una función que aumenta el proceso de inicio de sesión de Windows 10 con una forma de seguridad basada en hardware. Las opciones adicionales de inicio de sesión en esta página incluyen herramientas para administrar claves de seguridad física, configurar y cambiar las contraseñas de la cuenta, y iniciar sesión deslizando y tocando una foto.
Si configura más de una opción para iniciar sesión, puede elegir un método que no sea el predeterminado haciendo clic en las opciones de firma en la pantalla de inicio de sesión. Esta habilidad puede ser útil, por ejemplo, si Windows Hello no reconoce su cara o huella digital. Los iconos para cada una de las opciones que configura y luego aparecen como se muestra a continuación; Haga clic o toque uno para cambiar los métodos.

Tenga en cuenta que estas opciones de inicio de sesión alternativas también funcionan para algunas aplicaciones, incluida la tienda Microsoft.
En las siguientes secciones, explicamos cómo configurar y administrar cada uno de estos métodos de inicio de sesión. Comenzamos con la opción de inicio de sesión segura más importante de todos, que no está disponible en la configuración.

Agregar seguridad con autenticación multifactor

La mayor ventaja de iniciar sesión con una cuenta de Microsoft o una cuenta publicitaria de Azure, en lo que a nosotros respecta, es el soporte para la autenticación multifactor, que proporciona seguridad para su PC y sus datos. (Esta característica a menudo se llama autenticación de dos factores, o 2FA, pero también se puede denominar verificación de dos pasos). Se necesitan solo unos minutos en configurar, y el resultado es una capa de protección que evita un extraño desde el uso de credenciales robadas para hacerse pasar por su identidad.
La forma más común de 2FA utiliza una aplicación de autenticador instalada en un teléfono móvil para proporcionar una forma secundaria de prueba de identidad cuando sea necesario. En ese caso, los dos factores son el clásico "algo que sabe" (su contraseña) y "algo que tiene" (el dispositivo móvil que ha configurado como un dispositivo confiable). La combinación de esos dos factores crea un obstáculo que detendrá a todos menos a los atacantes más decididos.
Para activar esta función para una cuenta de Microsoft, visite https://account.live.com/proofs y inicie sesión. En esa página, puede agregar información de contacto aprobada para recibir solicitudes de seguridad y activar la verificación de dos pasos.
Para los dispositivos que están conectados a una organización que usa Azure AD, un administrador debe habilitar la autenticación de múltiples factores; Después de que se complete ese paso, los usuarios pueden administrar la verificación de seguridad desde el portal de Azure AD de mi cuenta. Comience en https://myaccount.microsoft.com, firmando con su trabajo o cuenta escolar, y luego haga clic en Verificación de seguridad adicional, bajo el encabezado de información de seguridad; Puede ir directamente a la página desde https://bit.ly/azuread-2fa.
Para Windows 10, el proceso de verificación de identidad funciona mejor con la aplicación Microsoft Authenticator, que está disponible en los teléfonos inteligentes Android e iOS desde la tienda de cada plataforma o desde https://www.microsoft.com/authenticator. Esta aplicación maneja la autenticación para Azure AD y Microsoft Cuentas; También admite la mayoría de las cuentas de terceros, incluidas las de Google, Facebook y Amazon.
La aplicación Authenticator admite aprobaciones basadas en huellas digitales y faciales en hardware compatible y funciona con varios tipos de relojes inteligentes.
Cuando se enciende 2FA, deberá usar ese factor adicional para probar su identidad en situaciones que Microsoft define como una seguridad adicional, como cuando se inicia sesión en un nuevo dispositivo por primera vez o realiza cambios en la configuración de la cuenta; Por lo general, esto implica aprobar un aviso en un dispositivo previamente verificado, como la aplicación Microsoft Authenticator en un teléfono inteligente.

Usando Windows Hola

La función Windows Hello le permite configurar su PC Windows 10 como un dispositivo de confianza que puede desbloquear usando hardware biométrico o un PIN específico del dispositivo. En esta configuración, sus credenciales se almacenan en forma cifrada en el dispositivo; Para iniciar sesión, desbloquea esas credenciales con un pin o identificación biométrica (usando su huella digital o cara).
Para configurar Windows Hello, primero debe confirmar su identidad ingresando correctamente sus credenciales. Después de pasar esa prueba, puede agregar un PIN y, con el soporte de hardware correcto, registre su información biométrica.
Cuando se completa este proceso de inscripción, puede omitir la contraseña e iniciar sesión en Windows 10 ingresando su PIN o suministrando lo que los ingenieros de Microsoft llaman su "gesto biométrico", utilizando el reconocimiento facial o un lector de huellas digitales.
El dispositivo en el que inicia sesión actúa como un componente de autenticación porque estableció su identidad cuando configuró el dispositivo; Su información adicional (el PIN o sus datos biométricos) se asocia con el dispositivo inscrito y no se almacena en un servidor remoto. Este arreglo evita los llamados ataques de surf de hombro, donde alguien intenta robar su contraseña observando sus pulsaciones de teclas mientras se inicia sesión. Debido a que Windows Hello usa un PIN específico del dispositivo, otras personas no pueden iniciar sesión en su cuenta a menos que también roben tu computadora.
Una nueva opción de Windows Hello, presentada con Windows 10 versión 2004, le permite configurar un dispositivo para que las únicas opciones disponibles usen el pin de Hello Windows o información biométrica; En esta configuración, su contraseña no está disponible como opción de inicio de sesión. Para habilitar esta opción, vaya a Configuración> Cuentas> Opciones de inicio de sesión y active el Iniciar sesión de Hello Windows para Windows para el conmutador de cuentas de Microsoft.

Configuración de un pin de hola Windows

Windows 10 lo alienta a configurar un PIN cuando crea una nueva cuenta de usuario por primera vez. Si se saltó este paso durante la configuración o desea cambiar el PIN que usa para iniciar sesión en su computadora, vaya a la página de opciones de inicio de sesión y haga clic en Agregar debajo del encabezado de PIN. Después de ingresar su contraseña para confirmar su identidad, ingresa números en un cuadro de diálogo como el que se muestra en la Figura 11-6. La longitud mínima es de cuatro dígitos (0–9 solo), pero su pin puede ser todo lo que desee. Si prefiere algo más complejo y más difícil de adivinar, seleccione la opción Incluir letras y símbolos.

Figura 11-6 Un PIN sirve como una alternativa conveniente para iniciar sesión en Windows y verificar su identidad en aplicaciones y servicios. Puede elegir un pin que sea más largo que el mínimo de cuatro caracteres.
Para iniciar sesión con un PIN, escriba los números en su teclado. Comenzando con la versión 1703, las supresas de teclas en el área del teclado numérico del registro del teclado como números mientras escribe el cuadro PIN en la pantalla de inicio de sesión, independientemente de si el bloqueo NUM está configurado; En versiones anteriores, esas teclas actuaron como llaves de flecha si el bloqueo de NUM estaba apagado. Si su computadora no tiene un teclado, aparece una almohadilla numérica en la pantalla para que pueda tocar su pin. (Si la almohadilla numérica no aparece, toque en la caja de entrada de alfileres).

Uso de Windows Hello para firmaciones biométricas

Con el hardware adecuado, puede iniciar sesión simplemente deslizando su huella digital o, incluso más fácil, mostrando su cara frente a la cámara de su computadora. (En algunos dispositivos móviles de Windows 10 de ahora, también se admite el reconocimiento de iris. Esta opción no está disponible actualmente en ninguna PC). También se le puede pedir que verifique su identidad al realizar una compra o acceder a un servicio seguro. Cuando Windows Hello reconoce una huella digital o una cara, lo saluda mostrando brevemente su nombre y una cara sonriente en la pantalla de inicio de sesión antes de ir a su escritorio.
Para usar Windows Hello para firmaciones biométricas en una PC, necesita uno de los siguientes:

• Un lector de huellas digitales que admite el marco biométrico de Windows; Si este hardware no está integrado en su computadora, puede agregar un lector de huellas digitales basado en USB.
• Una cámara infrarroja 3-D iluminada, como las que se encuentran en las computadoras portátiles y tabletas de superficie de Microsoft, así como otros dispositivos avanzados; Tenga en cuenta que una cámara web estándar no funcionará.

Para configurar Windows Hello, vaya a Configuración> Cuentas> Opciones de inicio de sesión. En Windows Hello, haga clic en Configurar el dispositivo biométrico que desea usar. Windows le pide que ingrese su PIN para verificar su identidad. Después de eso, debe ingresar sus datos biométricos. Con el reconocimiento de la cara, eso implica mirar la cámara; Para configurar un lector de huellas digitales, siga las indicaciones (como se muestra en la Figura 11-7) para deslizar su huella digital varias veces, hasta que Windows Hello haya registrado los datos que necesita.

Figura 11-7 Configuración para Windows Hello lo guía a través del breve proceso de escaneo y almacenamiento de sus datos biométricos.
Si está configurando el escaneo de huellas digitales, puede inscribir dedos adicionales para que no tenga una alternativa si el dedo que normalmente usa está, por ejemplo, cubierto con un vendaje. Haga clic en Agregar otro después de completar el registro para una huella digital. Para agregar otra huella digital más adelante, regrese a Configuración> Cuentas> Opciones de inicio de sesión y haga clic en Agregar otra. También puede asociar una huella digital adicional con una cuenta de usuario diferente en el mismo dispositivo. Inicie sesión en la cuenta alternativa y configure la segunda huella digital allí. Cuando reinicie, puede elegir su cuenta eligiendo la huella digital asociada con esa cuenta.

Usando una contraseña de imagen

Esta opción es un poco inadaptado en la lista de opciones de inicio de sesión. La opción de contraseña de imagen apareció primero en Windows 8 y fue diseñada para pequeñas tabletas y teléfonos móviles. No ofrece el mismo nivel de seguridad que Windows Hello (que es la razón principal por la que no recomendamos usarlo), pero la opción sobrevive para los usuarios que les gusta la idea de personalizar el proceso de inicio de sesión.
Con una contraseña de imagen, puede iniciar sesión en una pantalla táctil utilizando una combinación de gestos (específicamente, círculos, líneas rectas y grifos) que realiza en una imagen que se muestra en la pantalla de inicio de sesión. La forma más fácil de sentirse cómodo con una contraseña de imagen es seguir adelante y crear una.
Para comenzar, vaya a Configuración> Cuentas> Opciones de inicio de sesión. En contraseña de imagen, haga clic en Agregar. Verifique su identidad ingresando su contraseña para mostrar una pantalla introductoria donde puede elegir una imagen. Luego puede seleccionar una de sus propias imágenes para aparecer en la pantalla de inicio de sesión. Cuando esté satisfecho con su selección, haga clic en Use esta imagen.
En la siguiente pantalla que aparece, especifica los tres gestos que usará para iniciar sesión. Estos gestos pueden consistir en círculos, líneas rectas y grifos. Después de repetir la serie de gestos para confirmar su nueva "contraseña", haga clic en Finalizar.
Para iniciar sesión con una contraseña de imagen, debe realizar los mismos tres gestos en la pantalla de inicio de sesión, en el mismo orden, usando las mismas ubicaciones y en la misma dirección. No necesitas ser tan preciso; Windows permite variaciones menores en la ubicación.

Configurar o cambiar una contraseña

Cuando configura una cuenta de Microsoft, debe crear una contraseña. Del mismo modo, si agrega una cuenta de usuario local a su computadora, Windows 10 requiere que especifique una contraseña. Sin embargo, las versiones anteriores de Windows no tenían este requisito, por lo que si actualiza desde una versión anterior, es posible que deba agregar contraseñas para las cuentas locales existentes.
Para establecer o cambiar la contraseña de su cuenta de Microsoft, vaya a Configuración> Cuentas> Opciones de inicio de sesión. Haga clic o toque Cambiar en contraseña. Si Windows Hello está configurado, primero debe ingresar su PIN o suministrar autenticación biométrica. A continuación, debe ingresar su contraseña existente para confirmar su identidad. Windows luego le pide que ingrese su nueva contraseña.
Cambiar la contraseña para una cuenta local requiere un paso adicional: debe especificar una pista de contraseña. La sugerencia de contraseña aparece después de hacer clic en su nombre en la pantalla de inicio de sesión y escriba su contraseña incorrectamente. Asegúrese de que su pista sea solo un recordatorio sutil porque cualquier usuario puede hacer clic en su nombre y luego ver la pista. (Windows no le permitirá crear una pista de contraseña que contenga su contraseña).
También puede establecer o cambiar la contraseña para la cuenta local de otro usuario en su computadora. Para hacerlo, abra las cuentas de usuario en el panel de control, haga clic en Administrar otra cuenta y haga clic en el nombre del usuario cuya contraseña desea cambiar. Luego haga clic en Cambiar la contraseña o (si la cuenta no tiene una contraseña) cree una contraseña.

Administrar una clave de seguridad física

Una clave de seguridad es un dispositivo físico construido alrededor de hardware de cifrado que admite el estándar de identidad rápida (FIDO2). Estas claves, que generalmente se conectan a un puerto USB o se conectan a través de Bluetooth o NFC, pueden usarse como un segundo factor de identidad para iniciar sesión en una cuenta de Microsoft o restablecer una contraseña. Las claves de seguridad también funcionan con los programas de Administrador de contraseñas y son compatibles con cada navegador importante que se ejecuta en Windows 10, lo que a su vez le permite usar uno de estos dispositivos para soporte de 2FA en servicios web populares. En este escenario, generalmente se le solicita que aproveche la clave de seguridad después de ingresar sus credenciales. Con la adición de un PIN, puede usar una clave de seguridad para iniciar sesión sin contraseña.
Windows 10 no admite directamente las claves de seguridad para iniciar sesión, pero puede usarlo para administrar una tecla de hardware. Vaya a Configuración> Cuentas> Opciones de inicio de sesión, haga clic en la clave de seguridad y luego haga clic en Administrar. Toque la tecla de hardware para seleccionarla y luego use las opciones que se muestran en la Figura 11-8 para agregar o cambiar el pin de la tecla de seguridad o eliminar las credenciales guardadas de la tecla y obtener un nuevo inicio.

Figura 11-8 Puede usar una clave de seguridad física como segundo factor para iniciar sesión en los servicios web, incluidas las cuentas de Microsoft. Use estos controles para cambiar el PIN o eliminar las credenciales almacenadas.

Registrar, cambiar de cuentas o bloquear su computadora

Cuando se aleja de su computadora, desea asegurarse de no dejarlo en un estado en el que otros puedan usar sus credenciales para acceder a sus archivos, iniciar sesión en sitios web o servicios utilizando contraseñas guardadas, leer y responder a mensajes de correo electrónico , o interfire con su identidad digital. Por el bien de la seguridad, debe registrar, cambiar de cuentas o bloquear su computadora:

• Inicie sesión con esta opción, todos sus programas cierran y aparece la pantalla de bloqueo.
• Cambiar cuenta con esta opción, también conocida como conmutación rápida de usuario, sus programas continúan ejecutándose. Aparece la pantalla de inicio de sesión, lista para las credenciales de inicio de sesión de la persona que selecciona.
• Su cuenta todavía está iniciada, pero solo usted puede volver a su propia sesión, lo que puede hacer cuando el usuario que actualmente está firmado elige cerrar sesión, cambiar de cuentas o bloquear la computadora.
• Bloquee con esta opción, sus programas continúan ejecutándose, pero aparece la pantalla de bloqueo para que nadie pueda ver su escritorio o usar la computadora. Solo usted puede desbloquear la computadora para volver a su sesión; Sin embargo, otros usuarios pueden iniciar sesión en sus propias sesiones sin perturbar las tuyas.

Para cerrar sesión, cambiar cuentas o bloquear su computadora, abrir el inicio y hacer clic o toque su imagen sobre la columna de iconos a la izquierda. Que muestra un menú con opciones de bloqueo e inicio de sesión; En un dispositivo con más de una cuenta de usuario configurada, también incluye una foto de perfil y nombre de usuario para otras cuentas disponibles. En una computadora que se une a un dominio, aparece una cuenta de conmutador en lugar de nombres de cuenta individuales. Luego puede ingresar un nombre de cuenta en la pantalla de inicio de sesión.

Usando bloqueo dinámico

Windows 10 versión 1703 introdujo una nueva forma de bloquear una computadora, llamada Lock Dynamic. Con un bloqueo dinámico, su computadora se bloquea automáticamente cuando se separa de su teléfono, como cuando se aleja de su escritorio con su teléfono en su bolsillo o bolso. Para usar el bloqueo dinámico, siga estos pasos:

1. Si aún no lo ha hecho, combine su teléfono con Bluetooth con su computadora.
2. Abra Configuración> Cuentas> Opciones de inicio de sesión.
3. Seleccione la casilla de verificación de bloqueo dinámico.

Después de seguir estos pasos, Windows encuesta su teléfono varias veces por minuto. (Esto coloca un pequeño golpe en la duración de la batería de su teléfono). Cuando descubre que el teléfono ya no está en el rango, la computadora se bloquea. Tenga en cuenta, sin embargo, que el bloqueo no ocurre al instante; Windows encuesta su teléfono solo periódicamente, y le toma un tiempo que se aleje lo suficiente como para que su teléfono esté fuera de alcance.
¿Qué tan lejos está "fuera de rango"? Esa sensibilidad depende de varios factores, incluida la intensidad de la señal de sus dos dispositivos y el número de paredes y otras obstrucciones entre los dispositivos. Un valor de registro establece el umbral, pero la calibración requiere algo de experimentación. Rafael Rivera ha creado una herramienta para trabajar con valores de umbral de bloqueo dinámico; Puedes leer sobre esto en https://bit.ly/dynlock.
Desafortunadamente, Windows 10 no ofrece una función de desbloqueo dinámico correspondiente. Cuando regrese a su computadora, incluso con el teléfono en la mano, deberá iniciar sesión utilizando uno de los métodos habituales: Windows Hello, contraseña, PIN o contraseña de imagen.

Compartir su PC con otros usuarios

Las computadoras personales suelen ser eso: personal. Pero hay situaciones en las que tiene sentido que una sola PC sea compartida por múltiples usuarios. En esas circunstancias, es prudente configurar el dispositivo compartido de forma segura. Hacerlo ayuda a proteger los datos de cada usuario de las deleciones y cambios inadvertidos, así como el daño y el robo maliciosos.
Cuando configure su computadora, considere estas sugerencias:

• Controle quién puede iniciar sesión. Cree cuentas solo para los usuarios que necesitan usar los recursos de su computadora, ya sea iniciando sesión localmente o sobre una red. Si una cuenta que creó ya no es necesaria, elimina o deshabilita.
• Use cuentas estándar para usuarios adicionales. Durante la configuración, Windows establece una cuenta administrativa local para instalar programas, crear y administrar cuentas, etc. Todas las demás cuentas pueden y deben ejecutarse con privilegios estándar.
• Asegúrese de que todas las cuentas estén protegidas por una contraseña segura. Esto es especialmente importante para las cuentas de administrador y para otras cuentas cuyos perfiles contienen documentos importantes o sensibles. Windows 10 requiere una contraseña en todas las cuentas locales. Si tiene cuentas locales que fueron migradas de Windows 7, asegúrese de que todos estén protegidos por contraseña.
• Restringir los tiempos de inicio de sesión. Es posible que desee limitar las horas informáticas para algunos usuarios, especialmente los niños.
• Restringir el acceso a ciertos archivos. Deberá asegurarse de que algunos archivos estén disponibles para todos los usuarios, mientras que otros archivos están disponibles solo para la persona que los creó. La carpeta pública y las carpetas personales de un usuario proporcionan un marco general para esta protección. Puede refinar aún más su esquema de protección de archivos aplicando selectivamente permisos a diferentes combinaciones de archivos, carpetas y usuarios.

Agregar un usuario a su computadora

Para permitir que otro usuario inicie sesión en su computadora, usted como administrador debe agregar la cuenta de ese usuario. Vaya a Configuración> Cuentas> Familia y otros usuarios, que se muestran en la Figura 11-9. (En Windows 10 versión 1803 y anterior, esta configuración se llama Familia y otras personas). Allí, encontrará controles para agregar y administrar dos conjuntos de cuentas separados. Aquellos que agrega como miembros de la familia están sujetos a restricciones que un miembro adulto de la familia puede administrar utilizando una interfaz basada en la web. (Para más detalles, consulte la siguiente sección, "Controle el acceso a la computadora de su familia"). Las cuentas que crea bajo los otros usuarios que encabezan tienen todos los derechos y privilegios asociados con su tipo de cuenta: administrador o estándar.

Figura 11-9 En otros usuarios, puede agregar una cuenta local o una cuenta de Microsoft. Los miembros de la familia deben tener una cuenta de Microsoft.
Para agregar un usuario que no sea un miembro de la familia, bajo otros usuarios, haga clic en Agregar a otra persona a esta PC. Windows luego solicita la dirección de correo electrónico del nuevo usuario. Si la dirección de correo electrónico ya está asociada con una cuenta de Microsoft, todo lo que necesita hacer es completar esa dirección y hacer clic en Siguiente, y el nuevo usuario está listo para comenzar. (La primera vez que el nuevo usuario inicia sesión, la computadora debe estar conectada a Internet). Si la dirección de correo electrónico que proporciona no está asociada con una cuenta de Microsoft, Windows proporciona un enlace para registrarse para una nueva cuenta de Microsoft.
¿Qué pasa si quieres agregar una cuenta local? En la primera pantalla, cuando Windows solicita una dirección de correo electrónico, haga clic en el enlace cerca de la parte inferior: no tengo la información de inicio de sesión de esta persona. En el siguiente cuadro de diálogo, ignore la oferta para crear una nueva cuenta de Microsoft y, en su lugar, haga clic en Agregar un usuario sin una cuenta de Microsoft. Eso conduce al cuadro de diálogo que se muestra en la Figura 11-10.

Figura 11-10 Toma cierta persistencia, pero puede resistir las súplicas para usar una cuenta de Microsoft y, en su lugar, configurar una cuenta de usuario local; Finalmente, llegas a este cuadro de diálogo.
Esa opción abre un cuadro de diálogo diferente donde puede especificar un nombre de usuario y una contraseña para el nuevo usuario. También debe elegir y responder tres preguntas de seguridad para la cuenta local. (Si su computadora solo tiene cuentas locales configuradas, va directamente a este cuadro de diálogo final, omitiendo los dos que lo guían hacia una cuenta de Microsoft). Haga clic a continuación y su trabajo está hecho.

Controlar el acceso a la computadora de su familia

Las versiones anteriores de Windows tenían una característica llamada Controles parentales (Windows Vista y Windows 7) o seguridad familiar (Windows 8), que permitió a los padres restringir y monitorear el uso de la computadora de sus hijos.
Windows 10 ofrece capacidades similares, pero la implementación es completamente diferente. Esas versiones anteriores almacenaron su configuración en su PC, pero en Windows 10, las configuraciones familiares ahora se almacenan y administran como parte de su cuenta de Microsoft.
Este cambio arquitectónico tiene algunos beneficios obvios:

• No necesita hacer configuraciones para cada miembro de su familia en cada computadora. Después de agregar un miembro de la familia en una PC, administra su configuración en la nube, y esas configuraciones se aplican a todas las PC familiares donde se inician sesión.
• Puede administrar el uso de la computadora de cada miembro de la familia desde cualquier computadora que esté conectada a Internet.

La configuración familiar tiene un requisito de que algunos puedan percibir como una desventaja: cada miembro de la familia debe tener una cuenta de Microsoft e iniciar sesión con esa cuenta.

¿Qué puedes hacer con entornos familiares?

• Monitoree el uso de la computadora de cada niño. Puede ver informes de actividad que le indican qué buscan sus hijos en la web y qué sitios visitan, qué aplicaciones y juegos usan, y cuánto tiempo se registran en cada computadora de Windows 10 que usan.
• Bloquear sitios web inapropiados. Cuando habilita esta característica, las listas de sitios que se bloquean o se permiten explícitamente se usan de forma predeterminada, pero puede complementar estas listas con los sitios que desea siempre bloquear o permitir siempre.
• Controle el uso de aplicaciones y juegos de cada niño. Según las clasificaciones de edad, puede limitar las aplicaciones y los juegos que un niño puede descargar y comprar. También puede bloquear las aplicaciones y juegos específicos para la ejecución.
• Establezca límites de gasto para compras de tiendas. Puede agregar dinero a la cuenta de un niño y eliminar otras opciones de compra.
• Restringir cuándo sus hijos pueden usar la computadora y por cuánto tiempo.
• Verifique la salud y la seguridad de los dispositivos utilizados por los miembros de la familia.
• Localice a los miembros de la familia en un mapa, si están utilizando un teléfono Android con Microsoft Launcher instalado.

Puede agregar un miembro de la familia utilizando la interfaz de administración en línea o desde Windows 10; Vaya a Configuración> Cuentas> Familia y otros usuarios, y haga clic en Agregar un miembro de la familia. Windows pregunta si desea agregar una cuenta para otro organizador o para un miembro; La diferencia es que un organizador puede administrar entornos familiares, mientras que la actividad de un miembro se rige por entornos familiares.
Luego ingresa la dirección de correo electrónico del miembro de la familia; Si una cuenta de Microsoft no está asociada con esa dirección, Windows reúne la información necesaria para establecer una. Debido a que todas las configuraciones familiares se administran en línea utilizando cuentas de Microsoft, no hay opción para usar una cuenta local.
Los miembros de la familia deben iniciar sesión y otorgar permiso para que los organizadores vean su actividad y vean su ubicación en un dispositivo Android.
Como organizador, realiza todas las demás tareas de gestión en línea. Haga clic en el enlace en línea de la configuración familiar administrada en el encabezado de su familia o visite https://account.microsoft.com/family para comenzar. La Figura 11-11 muestra una parte de la interfaz para configurar los límites diarios y los tiempos durante los cuales un miembro de la familia puede usar una PC Windows 10 o una consola Xbox One.

Figura 11-11 Con la configuración del tiempo de pantalla, especifica un rango de veces permitido para el uso diario de PC de Windows 10 de un niño y una consola Xbox One.
Después de seleccionar una cuenta de Microsoft para el nuevo miembro de la familia, la familia Microsoft envía una invitación por correo electrónico a esa persona. (Si usa la interfaz basada en la web para agregar una cuenta de niño, puede iniciar sesión en nombre del niño usando sus credenciales). Un nuevo miembro de la familia puede iniciar sesión en su computadora de inmediato, pero la configuración familiar solo surta efecto después de esa familia El miembro abre el mensaje de correo electrónico y hace clic en el botón Aceptar invitación. (Hasta que eso suceda, la palabra pendiente aparece junto al nombre del miembro de la familia en la página de la familia y otros usuarios).

Restringir el uso con el acceso asignado

El acceso asignado es una característica bastante extraña que utiliza para configurar su computadora para que un solo usuario designado (uno que ya haya agregado a su computadora) pueda ejecutar solo una aplicación moderna. Cuando ese usuario inicia sesión, la aplicación especificada comienza automáticamente y ejecuta la pantalla completa. El usuario no puede cerrar la aplicación ni comenzar a ninguna otra. De hecho, la única salida es presionar CTRL+ALT+Eliminar (o presione el botón Windows y el botón de encendido simultáneamente), que firma al usuario y vuelve a la pantalla de inicio de sesión.
Los casos de uso para esta característica son limitados, pero aquí hay algunos ejemplos:

• Una aplicación de quiosco para uso público
• Una aplicación de punto de venta para su negocio
• Un juego para un niño muy pequeño

Si puede pensar en un uso para esta función, haga clic en Configurar el acceso asignado en la parte inferior de la página de la familia y otros usuarios.

Introducir el control de acceso en Windows

Hemos guardado esta sección bastante técnica para el final. La mayoría de los usuarios de Windows nunca necesitan lidiar con las tuercas y los pernos del modelo de seguridad de Windows. Pero los desarrolladores, los administradores de redes y cualquier persona que aspira a la etiqueta del "usuario de energía" debe tener al menos una comprensión básica de lo que sucede cuando crea cuentas, comparte archivos, instala controladores de software y realiza otras tareas que tienen implicaciones de seguridad.
El enfoque de la seguridad de Windows es discrecional: cada recurso de sistema de seguridad, por ejemplo, es un propietario. Ese propietario, a su vez, tiene discreción sobre quién puede y no puede acceder al recurso. Por lo general, un recurso es propiedad del usuario que lo crea. Si crea un archivo, por ejemplo, es el propietario del archivo en circunstancias ordinarias. (Sin embargo, los administradores de computadoras pueden tomar posesión de los recursos que no crearon).
Para controlar qué usuarios tienen acceso a un recurso, Windows utiliza el SID asignado a cada cuenta de usuario. Su SID (un número gigantesco garantizado para ser único) lo sigue a donde quiera que vaya en Windows. Cuando inicia sesión, el sistema operativo primero valida su nombre de usuario y contraseña. Luego crea un token de acceso de seguridad. Puede pensar en esto como el equivalente electrónico de una insignia de identificación. Incluye su nombre de usuario y SID, más información sobre cualquier grupo de seguridad a los que pertenece su cuenta. (Los grupos de seguridad se describen más adelante en este capítulo). Cualquier programa que comience obtiene una copia de su token de acceso de seguridad.
Con el control de la cuenta del usuario (UAC) activado, los administradores que inician sesión obtienen dos tokens de acceso de seguridad, uno que tiene los privilegios de un usuario estándar y otro que tenga los privilegios completos de un administrador.
Cada vez que intenta caminar por una "puerta" controlada en Windows (por ejemplo, cuando se conecta a una impresora compartida), o cada vez que un programa intente hacerlo en su nombre, el sistema operativo examina su token de acceso de seguridad y decide si para dejarte pasar. Si se permite el acceso, no nota nada. Si se niega el acceso, puede escuchar un pitido y leer un mensaje de rechazo.
Al determinar a quién dejar pasar y a quién bloquear, Windows consulta la lista de control de acceso del recurso (ACL). Esto es simplemente una lista de SMST y los privilegios de acceso asociados con cada uno. Cada recurso sujeto al control de acceso tiene un ACL. Esta forma de permitir y bloquear el acceso a recursos como archivos e impresoras se ha mantenido esencialmente sin cambios desde Windows NT.
UAC, que se introdujo en Windows Vista, agrega otra capa de restricciones basadas en cuentas de usuario. Con la UAC activada, las aplicaciones se lanzan normalmente utilizando el token de usuario estándar de un administrador. (Los usuarios estándar, por supuesto, solo tienen un token de usuario estándar). Si una aplicación requiere privilegios de administrador, UAC solicita su consentimiento (si se registra como administrador) o las credenciales de un administrador (si está firmado en como usuario estándar) antes de dejar que la aplicación se ejecute. Con UAC apagado, Windows funciona de la misma manera (bastante peligrosa) que las versiones previas a las vistas: las cuentas de administrador pueden hacer casi cualquier cosa (a veces metiendo a esos usuarios), y las cuentas estándar no tienen los privilegios necesarios para ejecutar muchos programas más antiguos.

Permisos y derechos

Windows distingue dos tipos de privilegios de acceso: permisos y derechos. Un permiso es la capacidad de acceder a un objeto en particular de una manera definida, por ejemplo, escribir en un archivo NTFS o modificar una cola de impresora. Un derecho es la capacidad de realizar una acción en particular del sistema, como firmar o restablecer el reloj.
El propietario de un recurso (o un administrador) asigna permisos al recurso, ya sea programáticamente (a través del software de gestión) o utilizando interactivamente su cuadro de diálogo Propiedades. Por ejemplo, si es el propietario de la impresora o tiene privilegios administrativos, puede restringir a alguien que use una impresora en particular visitando el cuadro de diálogo Propiedades para esa impresora. Los administradores establecen derechos a través de la consola de política de seguridad local. Por ejemplo, un administrador podría otorgarle a alguien el derecho de instalar un controlador de dispositivo. (La consola de política de seguridad local solo está disponible en las ediciones de Pro, Enterprise y Education of Windows 10. En la edición local, los derechos para varios grupos de seguridad están predefinidos e inmutables).

Cuentas de usuario y grupos de seguridad

La columna vertebral de la seguridad de Windows es la capacidad de identificar de manera única a cada usuario. Mientras configura una computadora, o en cualquier momento posterior, un administrador crea una cuenta de usuario para cada usuario. La cuenta de usuario es identificada por un nombre de usuario y normalmente está asegurada por una contraseña, que el usuario proporciona al iniciar sesión en el sistema. Windows luego controla, monitorea y restringe el acceso a los recursos del sistema sobre la base de los permisos y derechos asociados con cada cuenta de usuario por parte de los propietarios de recursos y el administrador del sistema.
El tipo de cuenta es una forma simplificada de describir la membresía en un grupo de seguridad, que es una colección de cuentas de usuario. Windows clasifica cada cuenta de usuario como uno de los dos tipos de cuenta:

• Los miembros administradores del grupo de administradores se clasifican como cuentas de administrador. De manera predeterminada, el grupo de administradores incluye la primera cuenta que crea cuando configura la computadora y una cuenta llamada Administrador que está deshabilitada y oculta de forma predeterminada. A diferencia de otros tipos de cuentas, los administradores tienen un control total sobre el sistema. Entre las tareas que solo los administradores pueden realizar son las siguientes:
• Crear, cambiar y eliminar cuentas y grupos de usuarios
• Instalar y desinstalar programas de escritorio
• Configurar la actualización automática con Windows Update
• Instalar un control activo
• Instalar o eliminar los controladores de dispositivos de hardware
• Compartir carpetas
• Establecer permisos
• Acceda a todos los archivos, incluidos los de la carpeta de otro usuario
• Tomar posesión de archivos
• Copiar o mover archivos a las carpetas % de programas de programa o % Systemroot %
• Restaurar archivos del sistema con respaldo
• Otorgar derechos a otras cuentas de usuarios y a sí mismas
• Configurar el firewall de Windows
• Los miembros de los usuarios estándar del grupo de usuarios se clasifican como cuentas de usuario estándar. Una lista parcial de tareas disponibles para las cuentas de usuario estándar incluye lo siguiente:
• Cambie la contraseña y la imagen de su propia cuenta de usuario
• Use programas de escritorio que se hayan instalado en la computadora
• Instalar actualizaciones del sistema y del controlador utilizando Windows Update
• Instalar y ejecutar aplicaciones desde la tienda de Microsoft
• Instalar controles ActiveX aprobados en Internet Explorer
• Configurar una conexión Wi-Fi segura
• Actualice un adaptador de red y la dirección IP del sistema
• Ver permisos
• Crear, cambiar y eliminar archivos en sus carpetas de documentos
• y en carpetas de documentos compartidos
• Restaurar sus propios archivos con respaldo
• Ver el reloj del sistema y el calendario, y cambie la zona horaria
• Establecer opciones de personalización, como temas, fondo de escritorio, etc.
• Seleccione una configuración de puntos de pantalla por pulgada (DPI) para ajustar el tamaño del texto
• Configurar opciones de energía
• Iniciar sesión en modo seguro
• Ver configuración de firewall de Windows

Asignar un tipo de cuenta apropiado a las personas que usan su computadora es sencillo. Al menos un usuario debe ser un administrador; Naturalmente, esa debería ser la persona que administra el uso y el mantenimiento de la computadora. Todos los demás usuarios regulares deben tener una cuenta de usuario estándar.
Los grupos de seguridad permiten que un administrador del sistema cree clases de usuarios que compartan privilegios comunes. Por ejemplo, si todos en el departamento de contabilidad necesitan acceso a la carpeta de cuentas por pagar, el administrador puede crear un grupo llamado contabilidad y otorgar el acceso completo al grupo a esa carpeta. Si el administrador agrega todas las cuentas de usuario que pertenecen a los empleados en el departamento de contabilidad al grupo de contabilidad, estos usuarios tendrán acceso automáticamente a la carpeta de cuentas por pagar. Una cuenta de usuario puede pertenecer a un grupo, más de un grupo o ningún grupo.
En redes grandes basadas en dominios de Active Directory, los grupos pueden ser una herramienta administrativa valiosa. Simplifican el trabajo de garantizar que todos los miembros con necesidades de acceso comunes tengan un conjunto idéntico de privilegios. Sin embargo, no recomendamos crear o usar grupos distintos de los administradores y grupos de usuarios incorporados en computadoras independientes y basadas en grupos de trabajo.
Los permisos y los derechos para los miembros del grupo son acumulativos. Eso significa que si una cuenta de usuario pertenece a más de un grupo, el usuario disfruta de todos los privilegios otorgados a todos los grupos de los cuales la cuenta de usuario es miembro.