Cuentas de seguridad de Servicios

Tradicionalmente los servicios en los sistemas operativos Windows anteriores a XP/2000 han tenido la opción de elegir ejecutarse o bajo el contexto de seguridad de LocalSystem o bajo cualquier cuenta de usuario arbitraria. La creación de cuentas de usuario para cada servicio se hace engorroso, especialmente por la administración de contraseñas de dichas cuentas. Debido a esto, casi todos los servicios locales se han configurado para ejecutarse como LocalSystem. El problema de esto es que LocalSystem es una cuenta con privilegios altos y rompiendo el servicio es frecuentemente un camino para conseguir un ataque de elevación de privilegios.

Muchos servicios no necesitan de un nivel elevado de privilegios, de ahí la necesidad de un contexto de seguridad de bajo nivel disponible en todos los equipos.

En Windows 2003 y XP los servicios se pueden ejecutar bajo los contextos siguientes:

  • Cuenta LocalSystem
  • Cuenta NetworkService (NT AUTHORITYNetworkService)
  • Cuenta LocalService (NT AUTHORITYLocalService)
  • Cuenta de usuario del dominio
  • Cuenta de usuario Local

El contexto de seguridad bajo el que un servicio se ejecuta afecta a los derechos de acceso que el servicio tiene en el equipo y en la red. El contexto de seguridad de un servicio es una consideración importante para los desarrolladores de servicios y los administradores del sistema ya que ello dictamina los recursos a los que el proceso puede acceder. A menos que el instalador de un servicio o un administrador especifiquen lo contrario, los servicios se ejecutan bajo el contexto de seguridad de la cuenta de LocalSystem (mostrado algunas veces como SYSTEM y otras como LocalSystem), que tiene características especiales.

Nota: Cambiar la cuenta bajo la que un servicio se ejecuta puede impedirle funcionar correctamente. Los administradores deben ser cuidadosos al cambiar la configuración de cuenta para un servicio. Muchos servicios están configurados para ejecutarse bajo la cuenta correcta y no funcionarán adecuadamente si se reconfigura. Algunos servicios necesitan una configuración de cuenta manual y de acuerdo con las recomendaciones de su desarrollador.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *