Detectar procesos que requieran elevación de privilegios en Windows Vista

Technorati Tags: ,

Hace tiempo empecé a escribir un blog sobre el número de UACs que aceptaba al día desde que empecé a usar un ordenador recién instalado. Cuando llevaba 12 días digamos que la desidia pudo sobre la rutina y lo abandone un poco… ¡Pero no del todo! Como (buen) informático mi pasión es conseguir hacer las tareas de una manera lo mas automatizada posible, evitando en la mayor medida la iteración por parte del usuario (en este caso yo).


Pensando en cómo seguir con la idea del blog sin necesidad de llevar una cuenta manual de cada UAC que aceptaba (aunque había días en los que no tenía nada que contar…) empecé a investigar sobre la posibilidad de que Windows Vista registrase en el visor de eventos del sistema una entrada sobre el requerimiento de elevación de privilegios. Mi idea era capturar ese evento y archivarlo.


Existe en Windows Vista una herramienta de políticas locales de seguridad que podemos modificar como usuario administrador para configurar a nuestro gusto multitud de parámetros del sistema y de su comportamiento, elemento que podría dar para varias entradas en este blog. Pero nosotros nos vamos a centrar en este caso en el apartado concreto de las políticas de auditoría.


clip_image002


Dentro de este apartado tendremos varias opciones y nosotros vamos a activar la auditoria de seguimiento de procesos ejecutados con éxito. Esto nos permitirá llevar un control de que programas se ejecutan en nuestro equipo desde el visor de eventos.


Una vez aplicada esta política y cerrada la ventana, podremos ir hasta el visor de eventos (desde la consola de administración del equipo o escribiendo en el menú inicio “Visor de Eventos”) y ver los eventos de Seguridad:


clip_image004


A partir de ahora tendremos un montón de eventos de auditoría dentro de nuestro apartado de Seguridad, entre ellos los que nosotros buscamos, los de ID 4688 (Creación de un proceso).


Para filtrar los eventos para ver solo los procesos creados en el sistema podremos hacer clic en el enlace de la derecha de filtrar para configurar una vista personalizada:


clip_image006


Introducimos el ID del evento (4688) y aceptamos.


clip_image008


Le damos un nombre y una ubicación y volvemos a aceptar. Acto seguido nos aparecerá una lista con los eventos seleccionados, en este caso toda creación de procesos.


clip_image010


Pero… ¿y el UAC? Bien, para ver si un proceso requirió elevación de privilegios al iniciarse solo tenemos que ver el mensaje que nos ha generado el mismo. En concreto buscar que el parámetro TokenElevationTypeLimited vale 2.


Este parámetro no se puede ya filtrar desde el visor de eventos, pues no es un parámetro del evento, si no un valor dentro del mensaje generado por el mismo. Si quieres saber cómo automatizar la captura del evento de elevación de privilegios puedes pasarte por mi blog personal donde explico cómo capturar el evento de elevación de privilegios mediante programación en .Net.


Y por mi parte nada más, espero que os haya gustado este truco para descubrir que andan trasteando nuestros usuarios o que andamos trasteando nosotros!

4 comentarios en “Detectar procesos que requieran elevación de privilegios en Windows Vista”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *