En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Seguridad de los servicios de Windows XP.

Los servicios son aplicaciones cargadas por el sistema operativo que trabajan en segundo plano y actúan con permisos de localsystem. Pero en Windows XP no están suficientemente controlados ya que una aplicación puede actuar fácilmente como servicio y cuando digo aplicación me refiero a troyanos, por eso les recomiendo a los usuarios de Windows XP/2000/2003/NT que revisen los servicios porque puede que se encuentren con alguna sorpresa, como en la foto que se muestra en este post.





Aquí les dejo los servicios de Windows XP SP2 (téngase en cuenta que hay aplicaciones que crean sus propios servicios):

Acceso a dispositivo de interfaz humana
Habilita el acceso de entrada genérico a los Dispositivos de interfaz humana (HID), que activa y mantiene el uso de botones de acceso directo predefinidos en los teclados, controles remotos y otros dispositivos multimedia. Si este servicio se detiene, los botones de acceso directo controlados por este servicio dejarán de funcionar. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Actualizaciones automáticas
Habilita la descarga e instalación de actualizaciones de Windows. Si este servicio se deshabilita, el equipo no podrá usar la característica Actualizaciones automáticas ni el sitio Web de Windows Update.

Adaptador de rendimiento de WMI
Proporciona información de la biblioteca de rendimiento desde los proveedores HiPerf de WMI.

Administración de aplicaciones
Ofrece servicios de instalación de software como Asignar, Publicar y Quitar.

Administración de IIS
Permite administrar los servicios Web y FTP mediante el complemento de Servicios de

Internet Information Server
Administrador de conexión automática de acceso remoto Crea una conexión a una red remota siempre que un programa hace referencia a un nombre o dirección DNS o NetBios remoto.

Administrador de conexión de acceso remoto
Crea una conexión de red.

Administrador de cuentas de seguridad
Almacena información de seguridad de cuentas de usuario locales.

Administrador de discos lógicos
Detecta y supervisa unidades de disco duro nuevas y envía información del volumen de disco al Servicio de administración de discos lógicos para su configuración. Si se detiene este servicio, la información de estado y configuración de discos dinámicos puede quedar desactualizada. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Administrador de sesión de Ayuda de escritorio remoto
Administra y controla la Asistencia remota. Si se detiene este servicio, Asistencia remota no estará disponible. Antes de detener el servicio, vea la ficha Dependencias en el cuadro de diálogo Propiedades.


Adquisición de imágenes de Windows (WIA)
Proporciona servicios de digitalización de imágenes para escáneres y cámaras.

Almacenamiento protegido
Ofrece almacenamiento protegido para datos importantes, como claves privadas, para impedir el acceso de servicios, procesos o usuarios no autorizados.

Aplicación del sistema COM+
Administra la configuración y el seguimiento de los componentes del Modelo de objetos componentes (COM+). Si se detiene el servicio, la mayoría de los componentes COM+ no funcionarán correctamente. Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.

Audio de Windows
Administra dispositivos de audio para programas basados en Windows. Si se detiene este servicio, los dispositivos de audio y efectos no funcionarán correctamente. Si se deshabilita este servicio, cualquier servicio que dependa explícitamente de él tendrá un error al iniciar.


Ayuda y soporte técnico
Habilita la ejecución del Centro de ayuda y soporte técnico en este equipo. Si se detiene este servicio, el Centro de ayuda y soporte técnico no estará disponible. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Centro de seguridad
Supervisa las configuraciones de seguridad del sistema.

Cliente de seguimiento de vinculos distribuidos
Mantiene vínculos entre archivos NTFS dentro de un equipo o entre equipos en un dominio de red.

Cliente DHCP
Administra la configuración de la red registrando y actualizando direcciones IP y nombres DNS.

Cliente DNS
Resuelve y almacena en caché los nombres del sistema de nombres de dominio (DNS) para este equipo. Si se detiene este servicio, este equipo no podrá resolver nombres DNS ni ubicar controladores de dominio en Active Directory. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.

Cliente Web
Habilita los programas basados en Windows para que creen, tengan acceso y modifiquen archivos basados en Internet. Si este servicio se detiene, estas funciones no estarán disponibles. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Cola de impresión
Carga archivos en la memoria para imprimirlos después.

Compatibilidad de cambio rápido de usuario
Proporciona administración para aplicaciones que necesitan asistencia en un entorno de usuarios múltiples.

Conexiones de red
Administra objetos en la carpeta Conexiones de red y acceso telefónico, donde se pueden ver conexiones de red de área local y remotas.

Configuración inalámbrica rápida
Proporciona configuración automática para los adaptadores 802.11

Coordinador de transacciones distribuidas de Microsoft
Coordina las transacciones que se extienden a varios administradores de recursos, como bases de datos, colas de mensajes y sistemas de archivos. Si se detiene este servicio, estas transacciones no se producirán. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.

DDE de red
Ofrece transporte y seguridad en la red para el Intercambio dinámico de datos (DDE) para los programas que se ejecutan en el mismo equipo o en diferentes equipos. Si este servicio se detiene, se deshabilitarán el transporte y la seguridad DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Detección de hardware shell
Proporciona notificaciones sobre eventos de hardware AutoPlay.

DSDM de DDE de red
Administra los recursos de red Intercambio dinámico de datos (DDE). Si este servicio se detiene, se deshabilitarán los recursos compartidos de red DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Enrutamiento y acceso remoto
Ofrece servicios de enrutamiento a empresas en entornos de red de área local y extensa.

Escritorio remoto compartido de NetMeeting
Permite a los usuarios autorizados acceder remotamente a su escritorio Windows usando NetMeeting.

Estación de trabajo
Crea y mantiene conexiones de cliente de red a servidores remotos. Si se detiene el servicio, estas conexiones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Examinador de equipos
Mantiene una lista actualizada de equipos en la red y proporciona esta lista a los equipos designados como exploradores. Si se detiene este servicio, esta lista no se actualizará o mantendrá. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Extensiones de controlador de Instrumental de administración de Windows
Proporciona información de administración de sistemas a y desde controladores.

Firewall de Windows/Conexión compartida a Internet (ICS)
Ofrece servicios de traducción de direcciones, direccionamiento, resolución de nombres y/o servicios de prevención de intrusión para una red doméstica o de pequeña empresa.

Horario de Windows
Mantiene la sincronización de fecha y hora en todos los clientes y servidores de la red. Si se detiene este servicio, no estará disponible la sincronización de fecha y hora. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.

Host de dispositivo Plug and Play universal
Proporciona compatibilidad para albergar dispositivos Plug and Play universales.

HTTP SSL
Este servicio implementa el protocolo de transferencia de hipertexto seguro (HTTPS), usando la Capa de sockets seguros (SSL). Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa explícitamente de él.

Iniciador de procesos de servidor DCOM
Ofrece el inicio de funcionalidad para los servicios DCOM.

Inicio de sesión en red
Admite la autenticación de paso de sucesos de inicio de sesión de cuenta para los equipos en un dominio.

Inicio de sesión secundario
Habilita los procesos de inicio en credenciales alternas. Si se detiene este servicio, se deshabilitará este tipo de acceso de inicio de sesión. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Instantáneas de volumen
Administra e implementa Instantáneas de volumen usadas para copias de seguridad y otros propósitos. Si este servicio se detiene, las instantáneas se deshabilitarán para la copia de seguridad y ésta dará un error. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Instrumental de administración de Windows
Proporciona una interfaz común y un modelo de objeto para tener acceso a la información de administración acerca de un sistema operativo, dispositivos, aplicaciones y servicios. Si se detiene este servicio, la mayoría del software basado en Windows no funcionará correctamente. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Llamada a procedimiento remoto(RPC)
Ofrece el asignador de punto final y otros servicios RPC diversos.

Localizador de llamadas a procedimiento remoto (RPC)
Administra la base de datos de servicios de nombres RPC.

Mensajero
Transmite mensajes del servicio de alertas y el comando net send entre clientes y servidores. Este servicio no está relacionado con Windows Messenger. Si se detiene el servicio, no se transmitirán los mensajes de alerta. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

MS Software Shadow Copy Provider
Administra instantáneas de volumen basadas en software y tomadas por el Servicio de instantáneas de volumen. Si se detiene el servicio, no se podrán administrar las instantáneas de volumen basadas en software. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.

NLA (Network Location Awareness)
Recopila y almacena información de configuración y ubicación de redes, e informa a las aplicaciones cuando esta información cambia.

Notificación de sucesos del sistema
Registra sucesos del sistema como los de inicio de sesión en Windows, red y energía, y los notifica a los suscriptores de sucesos del sistema COM+.

Office Source Engine
Guarda los archivos de instalación utilizados para las actualizaciones y reparaciones, y es necesario para descargar actualizaciones del programa de instalación e informes de error de Watson.

Plug and Play
Habilita un equipo para que reconozca y adapte los cambios de hardware con el menor esfuerzo por parte del usuario. Si se detiene o deshabilita este servicio, el sistema se volverá inestable.

Portafolios
Habilita el Visor del Portafolios para almacenar información y compartirla con equipos remotos. Si se detiene el servicio, el Visor del Portafolios no podrá compartir información con los equipos remotos. Si se deshabilita este servicio, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Programador de tareas
Habilita un usuario para que configure y programe tareas automáticas en este equipo. Si se detiene este equipo, estas tareas no se ejecutarán en sus horas programadas. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Protocolo simple de transferencia de correo (SMTP)
Transporta el correo electrónico por la red

Proveedor de compatibilidad con seguridad LM de Windows NT
Ofrece seguridad a programas de llamada a procedimiento remoto (RPC) que utilizan transportes diferentes de conductos con nombres.

Publicación en FTP
Proporciona conectividad y administración FTP mediante el complemento de Servicios de Internet Information Server

Publicación en World Wide Web
Proporciona conectividad y administración Web mediante el complemento de Servicios de Internet Information Server

QoS RSVP
Ofrece funcionalidad de señalización de red y control del tráfico local para programas y subprogramas de control compatibles con QoS.

Registro de sucesos
Habilita mensajes de registro de sucesos emitidos por programas basados en Windows y componentes para que se vean en Visor de sucesos. Este servicio no se puede detener.

Registro remoto
Habilita usuarios remotos para que modifiquen la configuración del Registro en este equipo. Si se detiene este servicio, cualquier usuario en este equipo puede modificar el Registro. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Registros y alertas de rendimiento
Recopila información de rendimiento de equipos locales o remotos de acuerdo a parámetros de programación configurados previamente, luego guarda la información en un registro o emite una alerta. Si se detiene el servicio, no se recopilará la información de rendimiento. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Servicio COM de grabación de CD de IMAPI
Administra la grabación de CD usando la interfaz de programación de aplicaciones de grabación de imágenes (IMAPI). Si se detiene este servicio, el equipo no podrá grabar los CD. Si está deshabilitado, los servicios que dependan de éste no se iniciarán.

Servicio de alerta
Notifica a usuarios y equipos seleccionados de alertas administrativas. Si se detiene el servicio, los programas que utilizan alertas administrativas no las recibirán. Si el servicio se deshabilita, no se podrá iniciar ninguno de los servicios que dependen explícitamente dependen de él.

Servicio de aprovisionamiento de red
Administra los archivos de configuración XML en cada dominio para el aprovisionamiento de red automático.

Servicio de descubrimientos SSDP
Habilita el descubrimiento de dispositivos UPnP en su red doméstica.

Servicio de Index Server
Indiza el contenido y las propiedades de archivos en equipos locales y remotos; ofrece acceso inmediato a archivos a través de un lenguaje de consulta flexible.

Servicio de informe de errores
Permite informar de errores para servicios y aplicaciones que se ejecutan en entornos no estándar.

Servicio de puerta de enlace de capa de aplicación
Proporciona compatibilidad para complementos de protocolo de terceros para Conexión compartida a Internet y para Firewall de Windows.

Servicio de restauración de sistema
Realiza funciones de restauración del sistema. Para detener el servicio, desactive Restaurar sistema en la ficha de Restaurar sistema en propiedades de Mi PC .

Servicio de transferencia inteligente en segundo plano
Transfiere los archivos en segundo plano usando el ancho de banda de red inactivo. Si el servicio se detiene, algunas características como Windows Update y MSN Explorer no podrán descargar programas u otra información automáticamente. Si se deshabilita este servicio, los servicios que dependan explícitamente de él podrían no transferir los archivos correctamente si no disponen de un mecanismo de seguridad ante errores para transferir los archivos directamente a través de Internet Explorer.

Servicio de Windows Media Connect
Comparte multimedia con dispositivos multimedia por medio de Plug and Play universal .

Servicio del administrador de discos lógicos
Configura las unidades de disco duro y volúmenes. El servicio sólo se ejecuta para procesos de configuración y a continuación se detiene.

Servicio del número de serie de medio portátil
Recupera el número de serie de cualquier reproductor de medio portátil conectado al equipo. Si este servicio se interrumpe, puede que los contenidos protegidos no se descarguen en el dispositivo.

Servicios de cifrado
Proporciona tres servicios de administración: Servicio de catálogo de base de datos, que confirma las firmas de archivos de Windows; Servicio de raíz protegida, que agrega y quita certificados de entidades emisoras de raíz de confianza de este equipo; y el Servicio de claves, que ayuda a inscribir este equipo a certificados. Si se detiene este servicio, sus servicios de administración mencionados no funcionarán correctamente. Si se deshabilita este servicio, no se podrán iniciar ninguno de los servicios que dependen explícitamente de él.

Servicios de Terminal Server
Permite que varios usuarios se conecten de forma interactiva a un equipo y que se muestren los escritorios y aplicaciones de equipos remotos. El acoplamiento de Escritorio remoto (incluido Escritorio remoto para administradores), Cambio rápido de usuarios, Asistencia remota y Terminal Server.

Servicios IPSEC
Administra la directiva de seguridad IP e inicia el controlador ISAKMP/Oakley (IKE) y de seguridad IP.

Servidor
Ofrece compatibilidad con uso compartido de archivos, impresoras y canalizaciones con nombres en la red para este equipo. Si se detiene el servicio, estas funciones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Sistema de alimentación ininterrumpida
Administra un sistema de alimentación ininterrumpida (UPS) conectado al equipo.

Sistema de sucesos COM+
Admite el Servicio de notificación de eventos del sistema (SENS), que proporciona la distribución automática de eventos a los componentes del Modelo de objetos componentes (COM). Si se detiene este servicio, SENS se cerrará y no podrá ofrecer notificaciones de inicio ni de cierre de sesión. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.

Tarjeta inteligente
Administra el acceso a una tarjeta inteligente de la el equipo hace lectura. Si este servicio se detiene, el equipo no podrá leer las tarjetas inteligentes. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Telefonía
Ofrece compatibilidad con la API de telefonía (TAPI) para programas que controlan dispositivos de telefonía y conexiones de voz basadas en IP en el equipo local y, a través de la LAN, en servidores que utilizan también el servicio.

Telnet
Permite que un usuario remoto inicie sesión en el equipo y ejecute programas , y sea compatible con varios clientes de Telnet TCP/IP, incluyendo los equipos basados en UNIX y Windows. Si este servicio se detiene, es posible que el acceso al usuario remoto no esté disponible. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.

Temas
Proporciona administración de temas de experiencia de usuario.

Windows Installer
Agrega, modifica y quita aplicaciones proporcionadas como paquetes de Windows Installer (*.msi). Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.

Se puede hacer que una aplicación trabaje como servicio muy fácilmente en el caso de que se quiera ocultar esa aplicación a los usuarios. Ejemplo:

Con este comando en la consola de comandos

sc create “mi servicio” binpath= c:\carpeta\mi servicio.exe

Solo funciona con permisos de administrador.

Si queremos eliminar un servicio sospechoso, solo tenemos que eliminarlo en el registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Hay muchos troyanos que crean su propio servicio para actuar.

Como crear servicios:
http://support.microsoft.com/?kbid=251192

Aquí les dejo este texto de la gente se Sysinternals Windows XP corriendo con dos servicios:
http://www.sysinternals.com/running-windows-with-no-services.html
Seguridad de los servicios de Windows XP. Seguridad de los servicios de Windows XP. Reviewed by Álvaro Paz on viernes, mayo 19, 2006 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.