Iniciar sesión como servicio
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Iniciar sesión como servicio.
Referencia
Esta configuración de directiva determina qué cuentas de servicio pueden registrar un proceso como un servicio. Si se ejecuta un proceso en una cuenta de servicio, no es necesario que intervenga el usuario.
Constante: SeServiceLogonRight
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- Minimiza el número de cuentas que tienen este derecho de usuario.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De manera predeterminada, esta configuración es Servicio de red tanto en los controladores de dominio como en los servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Sin definir |
Configuración predeterminada eficaz del controlador de dominio |
Servicio de red |
Configuración predeterminada eficaz del servidor miembro |
Servicio de red |
Configuración predeterminada eficaz del equipo cliente |
Servicio de red |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración de directiva Deny logon as a service reemplazará a esta configuración de directiva si una cuenta de usuario está sujeta a ambas.
La configuración de la directiva de grupo se aplica en el siguiente orden y sobrescribirá la configuración del dispositivo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
El derecho de usuario Iniciar sesión como servicio permite a las cuentas iniciar servicios de red o servicios que se ejecutan continuamente en un equipo, incluso cuando no se ha iniciado sesión en la consola. El riesgo se reduce ya que solo aquellos usuarios que poseen privilegios administrativos pueden instalar y configurar servicios. Si un atacante ya ha llegado a ese nivel de acceso, puede configurar el servicio para que se ejecute con la cuenta de sistema local.
Contramedidas
Por definición, la cuenta de servicio de red tiene el derecho de usuario Iniciar sesión como servicio. Este derecho no se concede a través de la configuración de directiva de grupo. Te recomendamos que reduzcas el número de cuentas que tienen este derecho de usuario.
Impacto potencial
En la mayoría de equipos, restringir el derecho de usuario Iniciar sesión como servicio en las cuentas integradas de sistema local, servicio local y servicio de red, no supondrá ninguna consecuencia negativa ya que esta suele ser la configuración predeterminada. Sin embargo, si has instalado componentes opcionales como ASP.NET o IIS, debes asignar el derecho de usuario Iniciar sesión como servicio a aquellas cuentas adicionales que sean necesarias para estos componentes. Recuerda que IIS requiere que este derecho de usuario se conceda explícitamente a la cuenta de usuario ASPNET.