• Securizar el inicio de sesión de Windows

    userypasswordSeguramente pensemos que con tener una contraseña de inicio de sesión de Windows y tener que escribirla siempre que queramos iniciar sesión, estamos muy protegidos. Pero ¿y si un día alguien descubre nuestra contraseña leyéndola en el PostIt que tenemos pegado en el monitor? ¿Qué ocurrirá en ese caso? Pues que cualquiera que encienda nuestro ordenador, verá nuestra imagen de inicio de sesión, hará click sobre ella (o sobre nuestro nombre), pondrá la contraseña y accederá a nuestro sistema sin problemas. Por eso, lo mejor es que no le demos el 100% de las cosas hechas al ladrón. Si se sabe la contraseña, pero no sabe cual es nuestro nombre de cuenta, tampoco podrá hacer nada. Esto es porque, si quitamos la opción de que aparezcan los nombres de las cuentas (y sus imágenes) al momento del logueo, aunque el malhechor sepa la contraseña, no podrá entrar si no sabe el nombre de nuestro usuario. ¿Qué cómo se hace? Muy fácil:

    Abrimos CMD como Administrador y ejecutamos:

    secpol.msc

    Cuando se abra la ventana de «Directiva de seguridad local», en el árbol de navegación de la izquierda, vamos a: Configuración de seguridad (Security settings) >> Directivas locales (Local policies) >> Opciones de seguridad (Security options).

    En el panel de la derecha, hacemos doble-click sobre «Inicio de sesión interactivo: No mostrar el nombre de usuario al iniciar sesión (Interactive logon: Don’t display username at login)»

    …y la marcamos como «Habilitada».

    Luego hacemos doble-click sobre «Inicio de sesión interactivo: No mostrar último inicio de sesión (Interactive logon: Don’t display last signed-in)» y también la marcamos como «Habilitada».

    Al reiniciar el ordenador, ya no nos mostrará el usuario.

    Esto truco también se puede ejecutar usando el editor del registro. Para ello abrimos un CMD como Administrador y ejecutamos:

    regedit

    En la ventana del editor del registro, buscamos y entramos a la siguiente cadena:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    En el panel de la derecha, hacemos doble click sobre el valor DontDisplayUserName y le asignamos valor hexadecimal de 1. Luego hacemos doble-click sobre el valor DontDisplayLastUserName y también le ponemos un valor hexadecimal de 1.

    NOTA: Si los valores no existen, los creamos haciendo click derecho en la parte vacía de la derecha y luego en » Nuevo» >> «Valor DWord (32 bits)» y le ponemos los dos nombres correspondientes (DontDisplayUserName y DontDisplayLastUserName). Finalmente metemos en cada uno de ellos un 1 como valor hexadecimal.

    El archivo de importación del registro (.reg) con estos cambios, luciría tal que así:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DontDisplayUserName"=dword:00000001
"DontDisplayLastUserName"=dword:00000001

    Luego, imaginemos otro caso en el cual un software maligno reemplaza nuestra pantalla de inicio de sesión por otra muy parecida y vamos, como catetos que somos, y le metemos las credenciales. Pues bien, para que no nos pase esto lo mejor es requerir que los usuarios presionen la combinación de Ctrl+Alt+Del para que se le permita el intento de inicio de sesión. Lo logramos ejecutando:

    netplwiz

    …yendo a la pestaña de «Opciones avanzadas» y activando el «Inicio de sesión seguro». Esto hará mandatorio la presión de esa combinación de Ctrl+Alt+Supr para que se pueda proceder a meter el usuario y la contraseña.


    Deja una respuesta