microsoft gratis essentials español defender windows security

gratis - windows defender



¿La diferencia entre la cuenta ''Sistema local'' y la cuenta ''Servicio de red''? (1)

Ya que hay tanta confusión sobre la funcionalidad de las cuentas de servicio estándar, intentaré dar un rápido vistazo.

Primero las cuentas reales:

  • Cuenta de servicio local (preferido)

    Una cuenta de servicio limitado que es muy similar a un servicio de red y está pensada para ejecutar servicios estándar de privilegios mínimos. Sin embargo, a diferencia del servicio de red, no tiene capacidad para acceder a la red ya que la máquina accede a la red como un usuario anónimo .

    • Nombre: NT AUTHORITY/LocalService
    • la cuenta no tiene contraseña (cualquier información de contraseña que proporcione se ignora)
    • HKCU representa la cuenta de usuario LocalService
    • Tiene privilegios mínimos en la computadora local.
    • Presenta credenciales anónimas en la red.
    • SID : S-1-5-19
    • tiene su propio perfil bajo la clave de registro HKEY_USERS/S-1-5-19 ( HKEY_USERS/S-1-5-19 )

  • Cuenta de NetworkService

    Cuenta de servicio limitado destinada a ejecutar servicios privilegiados estándar. Esta cuenta es mucho más limitada que el sistema local (o incluso el administrador), pero aún tiene el derecho de acceder a la red como la máquina (vea la advertencia más arriba).

    • NT AUTHORITY/NetworkService
    • la cuenta no tiene contraseña (cualquier información de contraseña que proporcione se ignora)
    • HKCU representa la cuenta de usuario de NetworkService
    • Tiene privilegios mínimos en la computadora local.
    • presenta las credenciales de la computadora (p. ej., MANGO$ ) a servidores remotos
    • SID : S-1-5-20
    • tiene su propio perfil bajo la clave de registro HKEY_USERS/S-1-5-20 ( HKEY_USERS/S-1-5-20 )
    • Si intenta programar una tarea usándola, ingrese el NETWORK SERVICE en el cuadro de diálogo Seleccionar usuario o grupo

  • Cuenta LocalSystem (peligroso, no usar!)

    Cuenta completamente confiable, más que la cuenta del administrador. No hay nada en una sola casilla que esta cuenta no pueda hacer, y tiene el derecho de acceder a la red como la máquina (esto requiere Active Directory y otorgar los permisos de la cuenta de la máquina a algo)

    • Nombre:. ./LocalSystem (también puede usar LocalSystem o ComputerName/LocalSystem )
    • la cuenta no tiene contraseña (cualquier información de contraseña que proporcione se ignora)
    • SID : S-1-5-18
    • no tiene ningún perfil propio ( HKCU representa al usuario predeterminado )
    • Tiene amplios privilegios en la computadora local.
    • presenta las credenciales de la computadora (p. ej., MANGO$ ) a servidores remotos

Arriba cuando se habla de acceder a la red, esto se refiere únicamente a SPNEGO (Negociar), NTLM y Kerberos y no a ningún otro mecanismo de autenticación. Por ejemplo, el procesamiento que se ejecuta como LocalService todavía puede acceder a Internet.

El problema general con la ejecución de una cuenta estándar estándar es que si modifica cualquiera de los permisos predeterminados, está expandiendo el conjunto de cosas que todo lo que se ejecuta como esa cuenta puede hacer. Por lo tanto, si otorga DBO a una base de datos, no solo su servicio que se ejecuta como Servicio local o Servicio de red puede acceder a esa base de datos, sino que todo lo demás que se ejecuta como esas cuentas también puede hacerlo. Si cada desarrollador hace esto, la computadora tendrá una cuenta de servicio que tiene permisos para hacer prácticamente cualquier cosa (más específicamente el superconjunto de todos los diferentes privilegios adicionales otorgados a esa cuenta).

Desde una perspectiva de seguridad, siempre es preferible que se ejecute como su propia cuenta de servicio que tenga precisamente los permisos que necesita para hacer lo que hace su servicio y nada más. Sin embargo, el costo de este enfoque es configurar su cuenta de servicio y administrar la contraseña. Es un acto de equilibrio que cada aplicación necesita gestionar.

En su caso específico, el problema que probablemente esté viendo es que la activación de DCOM o COM + está limitada a un conjunto dado de cuentas. En Windows XP SP2, Windows Server 2003 y por encima del permiso de Activación se restringió significativamente. Debe usar el complemento MMC de Servicios de componentes para examinar su objeto COM específico y ver los permisos de activación. Si no está accediendo a nada en la red como la cuenta de la máquina, debe considerar seriamente el uso del Servicio Local (no del Sistema Local, que es básicamente el sistema operativo).

En Windows Server 2003 no puede ejecutar una tarea programada como

  • NT_AUTHORITY/LocalService (también conocida como cuenta de servicio local), o
  • NT AUTHORITY/NetworkService (también conocida como la cuenta de Servicio de red).

Esa capacidad solo se agregó con el Programador de tareas 2.0 , que solo existe en Windows Vista / Windows Server 2008 y más reciente.

Un servicio que se ejecuta como NetworkService presenta las credenciales de la máquina en la red. Esto significa que si su computadora se llamara mango , se presentaría como la cuenta de la máquina MANGO$ :

He escrito un servicio de Windows que genera un proceso separado. Este proceso crea un objeto COM. Si el servicio se ejecuta con la cuenta del ''Sistema local'', todo funciona bien, pero si el servicio se ejecuta con la cuenta del ''Servicio de red'', el proceso externo se inicia pero no logra crear el objeto COM. El error devuelto por la creación del objeto COM no es un error estándar de COM (creo que es específico del objeto COM que se crea).

Entonces, ¿cómo puedo determinar en qué se diferencian las dos cuentas, ''Sistema local'' y ''Servicio de red''? Estas cuentas incorporadas parecen muy misteriosas y nadie parece saber mucho sobre ellas.