Seguridad, servicios y el escritorio interactivo en Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 327618 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Introducción

Servicios en Microsoft Windows son generalmente aplicaciones de consola que están diseñadas para ejecutarse desatendidas. Por lo tanto, servicios no tienen normalmente una interfaz de usuario. Sin embargo, el servicio puede requerir la interacción con el usuario en algunos casos.

Más información

importante Recomendamos encarecidamente que servicios no ejecutar como servicios interactivos si los servicios se ejecutan en un contexto de seguridad elevados, como SYSTEM.

Para la interfaz de usuario de Windows, el escritorio es el límite de seguridad. Cualquier aplicación que se ejecuta en el escritorio interactivo puede interactuar con cualquier ventana que está en el escritorio interactivo, incluso si esa ventana no se muestra en el escritorio. Este comportamiento es true para cada aplicación, independientemente del contexto de seguridad de la aplicación que crea la ventana y independientemente del contexto de seguridad de la aplicación que se ejecuta en el escritorio. El sistema de mensaje de Windows no permite una aplicación para determinar el origen de un mensaje de ventana.

Porque estas características de diseño, cualquier servicio que se abre una ventana en el escritorio interactivo es exponer propio a aplicaciones que se ejecutan por el usuario ha iniciado la sesión. Si el servicio intenta utilizar mensajes de ventana para controlar su funcionalidad, el usuario ha iniciado la sesión puede afectar a esa funcionalidad utilizando mensajes malintencionados.

Es mejor que evaluar los problemas de seguridad cualquier servicio que se ejecuta como SYSTEM, que admite el escritorio interactivo mediante llamadas a la función OpenWindowStation y a la función GetThreadDesktop y crea una interfaz de usuario.

En Microsoft Windows NT 4.0 y en Microsoft Windows 2000, las restricciones de seguridad no se fuerzan totalmente para tener acceso el escritorio predeterminado de una estación de ventana interactiva. Cuando una aplicación intenta dibujar una interfaz de usuario, la seguridad de la estación de ventana no se consulta para el derecho de acceso WINSTA_READSCREEN . Si el identificador de seguridad (SID) de inicio de sesión no tiene este acceso a la estación de ventana, un proceso que se está ejecutando en ese SID no debe tener acceso a contenido de la pantalla.

En Microsoft Windows XP, esta restricción se exige correctamente. Cuando un proceso que se ejecuta un inicio de sesión que SID intenta dibujar en la pantalla, el subsistema GDI comprueba si el token de inicio de sesión tiene el derecho de acceso WINSTA_READSCREEN . Si el token de inicio de sesión no tiene acceso, el dibujo no se completa. Este comportamiento provoca errores de dibujo. Puede ver estos errores al ejecutar aplicaciones de GUI utilizando un token que ha obtenido la propiedad LogonUser . La propiedad LogonUser es el nombre de usuario para el usuario actualmente conectado.

Se recomienda que el escritor de servicio utilice una tecnología cliente/servidor, como llamada a procedimiento remoto (RPC), sockets, denominado canalizaciones o COM para interactuar con el usuario ha iniciado la sesión de un servicio. Además, recomendamos que utilice la función MessageBox junto con el indicador MB_SERVICE_NOTIFICATION muestre mensajes de estado simple.

Propiedades

Id. de artículo: 327618 - Última revisión: jueves, 03 de noviembre de 2005 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Platform Software Development Kit-January 2000 Edition
Palabras clave: 
kbmt kbdevsecurity kbshell kbui kbgdi kbinfo KB327618 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 327618

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com