Windows hoyo 1 : No hay control de login concurrente
En Windows no hay forma de limitar una cuenta de usuario determinada para que solo inicie sesión en una computadora a la vez.
En términos de inicios de sesión interactivos en computadoras de escritorio y portátiles, un administrador del sistema no puede evitar que un usuario determinado vaya a una computadora, inicie sesión allí, deje que alguien trabaje como él o simplemente deje la computadora desatendida y luego se acerque a otra computadora y se registre allí.
Y la razón es debido a la arquitectura de Windows: no hay una entidad que lleve un registro de todos los lugares donde un usuario está conectado, ya que cada estación de trabajo básicamente maneja eso individualmente.
Las estaciones de trabajo tienen que comunicarse con el controlador de dominio, pero el controlador de dominio solo participa en la autenticación inicial. Una vez que el controlador de dominio le dice a la estación de trabajo que «Sí, este usuario es auténtico» o «No, no lo es; sus credenciales no eran buenas », entonces el controlador de dominio simplemente se olvida de esa sesión de inicio de sesión. No realiza un seguimiento del hecho que el usuario aún inició sesión en esa computadora. Cada computadora hace eso por sí sola. Probablemente esa sea la razón por la que no hay un control de inicio de sesión simultáneo integrado en Windows en primer lugar.
Originalmente, Microsoft intentó solucionar este importante problema con una herramienta no compatible llamada Cconnect, incluida en su Kit de recursos de Windows NT / 2000. Sin embargo, debido a la complejidad de implementar, la funcionalidad limitada y deficiente, las limitaciones y los defectos adicionales (!) que la aplicación generó, son pocos los que se conocen que todavía la utilizan.
Con la llegada de Active Directory, Microsoft ha vuelto a la mesa de dibujo y si bien uno hubiera pensado que habrían abordado adecuadamente el problema, de hecho están de regreso con otra herramienta no compatible basada en scripts de inicio de sesión, que responde solo parcialmente a los requisitos e igualmente incómoda de implementar y mantener: LimitLogin.
LimitLogin es realmente complicado de configurar y usar:
- Por un lado, realiza una modificación irreversible del esquema de Active Directory (!).
- Por otro, crea una nueva partición en Active Directory. También requiere configurar un servidor web con .NET Framework y ASP.NET y configurarlo para realizar la autenticación Kerberos delegada..
Finalmente, requiere distribuir paquetes de cliente que permitan comunicarse con el servidor web a través de SOAP (un protocolo ligero para intercambiar información estructurada en un entorno distribuido).
Como me dijo una vez un amigo estadounidense: «LimitLogin parece una máquina de Rube Goldberg»……
¿Por qué es tan importante controlar los inicios de sesión simultáneos?
- reduce la capacidad de los usuarios para compartir sus credenciales y evitar situaciones como esta: un gerente no quiere aprobar solicitudes de compra y, por lo tanto, simplemente registra a uno de sus subordinados como él mismo y luego le permite sentarse allí y aprobar sin pensar cada solicitud de compra. Y así, por supuesto, todo el control comercial que se pretendía en ese caso simplemente se va por la ventana..
- algunos controles de aplicaciones dependen del control de inicios de sesión simultáneas. Estas aplicaciones se escriben asumiendo que el mismo usuario no iniciará sesión en diferentes sesiones.
- es necesario hacer cumplir la responsabilidad y asegurarse de que Juan realmente sea Juan. De hecho, a veces las investigaciones se han visto obstaculizadas porque un usuario pudo reclamar, o al menos tratar de hacer el reclamo, que alguien más estaba conectado como él en el momento en que sucedió algo, porque puede demostrar que estaba conectado en su propia computadora.
No controlar los inicios de sesión simultáneos crea un problema de responsabilidad y no repudio.
Es por eso que esta característica es necesaria para que un sistema de información cumpla con las principales restricciones regulatorias, que incluyen::
- NISPOM (National Industrial Security Program Operating Manual – 8-303, 8-602 and 8-609 sections)
- DCID 6/3 (Director of Central Intelligence Issued Directive 6/3 – «Identification and Authentication» and «Enforcement of sessions controls» sections)
UserLock permite la limitación o prohibición de inicio de sesión simultánea (mismo ID, misma contraseña), por usuario, grupo de usuarios o unidad organizativa..
También se puede establecer un límite para el número total de sesiones de todos los miembros de un grupo. Esto, por ejemplo, es útil si a cada departamento de una organización solo se le permite abrir un número limitado de sesiones de terminal en servidores para compartir recursos de manera justa.