- Lista de Servicios de Windows
XP - Acceso a dispositivo de interfaz
humana (Human Interface Device Access) - Actualizaciones
automáticas (Automatic Updates) - Cliente de seguimiento de
vínculos distribuidos (Distributed Link Tracking
Client) - Compatibilidad con cambio
rápido de usuario (Fast user Swiching
compatibility) - Enrutamiento y acceso remoto
(Routing and remote access) - Extensiones de controlador
de Instrumental de administración de
Windows - Instrumental de
administración de Windows - Otros útiles pasos para
mejorar el nivel de seguridad - Zonas de seguridad en
Windows - Restringir el uso de carpetas
compartidas por usuario - Acelerar el apagado de
WinXP - Habilitar función de
encriptación - Consideraciones
generales
Pues bien, ante todo vale decir que este texto es solo
eso: una pequeña guía para mejorar el sistema operativo
(SO) de Microsoft,
cabe destacar que es aplicado específicamente a Windows XP,
2000 y 2003, no puedo asegurar que en versiones anteriores
funcionen todos los "truquitos" que aquí expongo; y es
así, hay que hacerse de trucos y "meter" mano por debajo
de la mesa para poder medio
afinar la estabilidad de
‘Mocosoft Meguindo’
Este texto (manual o como se
le quiera llamar) es de libre uso y distribución ya que su licencia es GNU (GPL
– GENERAL PUBLIC LICENSE) que en resumen lo que dice es que es
gratis, siempre y cuando se respeten los derechos de la persona que lo
escribió…así que hago lo mismo
dándole crédito
a la gente de www.pcgenerals.com.ar ya que ahí se
puede encontrar información referida en esta
guía…y claro a los temas de ayuda de
Microsoft.
Lo primero que haremos será respaldar cualquier
información importante que tengamos en el computador
antes de realizar cualquier cambio
interno, no sabemos si posterior a eso Windows se
colgará…de cualquier manera, todo esto ya lo he
probado yo, pero repito, es recomendable respaldar antes de hacer
algo que no sepamos con exactitud que repercusiones tendrá
después…
Lista de Servicios de
Windows XP
Para llegar aquí, vamos a inicio -> Mi PC
-> Propiedades -> Administrar o en Panel de control
-> Herramientas
administrativas -> Administración de equipos , nos
aparecerá una ventana con una serie de opciones del lado
izquierdo que lleva por nombre
Administración de equipos. Dejemos por ahora las
demás y vallamos directamente a Servicios y aplicaciones
-> Servicios. Del lado derecho de la venta se
mostrarán una serie de Procesos y
Aplicaciones que usa Windows cuando prendes el computador, muchos
de ellos son un peligro, ya que dejan abierta la posibilidad de
un volcado de memoria (lo
que
podría permitir el ingreso de un atacante) o
sencillamente recargan y sobrecargan el sistema con "pendejadas"
que ni siquiera usamos. En la preparación de la seguridad,
es mejor desactivar todos los servicios que no se vayan a
utilizar, no tiene sentido tener abierto un servicio del
que no se va a hacer uso, puede que esté consumiendo
recursos del
sistema para ofrecer a algún atacante la posibilidad de
violarlo. Voy a tratar de explicar cada una de ellas a
continuación.
Acceso a dispositivo
de interfaz humana (Human Interface Device Access):
Ejecutada por svchost.exe, Habilita el acceso de entrada
genérico a los Dispositivos de interfaz humana (HID), que
activa y mantiene el uso de botones de acceso directo
predefinidos en los teclados, controles remotos y otros
dispositivos multimedia. Si
este servicio se detiene, los botones de acceso directo
controlados por este servicio dejarán de funcionar. Si
este servicio está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. Por lo general nadie tiene o usa dispositivos de
interfaz humana, así que lo podemos detener y ponerlo en
Manual. Si luego decidimos utilizar este tipo de componentes y
los drivers no hacen que funcione en forma correcta, lo volvemos
a poner en automático.
Actualizaciones
automáticas (Automatic Updates):
Ejecutado por svchost.exe, Habilita la descarga e
instalación de actualizaciones críticas de Windows.
Si el servicio está deshabilitado, el sistema operativo se
puede actualizar manualmente en el sitio Web de Windows
Update. Windows XP se da cuenta de la aparición de una
nueva actualización mucho después de que
ésta aparezca. Por recomendación es mejor
deshabilitar este servicio, ya que perdemos control de lo que
entra y sale de nuestro equipo, me refiero a la
información, al menos a mi no me interesa estar dejando
mis datos en
cualquier página de internet que visito, eso
incluye a Microsoft, ya se a hablado suficiente de su aparente
"espionaje" a través de Windows Update.
Adaptador de rendimiento de WMI (Performance
adapter): Ejecutado por wmiapsrv.exe, proporciona
información de la biblioteca de
rendimiento desde los proveedores
HiPerf de WMI; no tiene uso así que lo podemos
deshabilitar sin problemas.
Administración de aplicaciones (Aplication
management): Ejecutado por svchost.exe, ofrece servicios de
instalación de software como asignar,
publicar y quitar. Sin éste servicio las nuevas
aplicaciones continúan almacenándose en el apartado
de "Agregar o quitar programas"
así que lo podemos detener y dejarlo en manual.
Administrador de carga (Upload manager):
Ejecutado por svchost.exe, administra transferencias
síncronas y asíncronas de archivos entre
clientes y
servidores en
la red. Si se
detiene este servicio, dichas transferencias no tendrán
lugar. Si se deshabilita el servicio, no se podrá iniciar
ninguno de los servicios que dependen explícitamente de
él.
Lo podemos Deshabilitar sin problemas, ya que no
interfiere con el funcionamiento de la red para compartir
archivos e impresora.
Administrador de conexión automática de
acceso remoto (Remote Access
Auto
Connection Manager): Ejecutado por svchost.exe,
crea una conexión a una red remota siempre que
un programa hace
referencia a un nombre o dirección DNS o NetBios
remoto. Vamos a detenerlo y ponerlo en Manual. Si se nos
presentan problemas en la conexión a Internet lo volvemos
a poner en Automático (puede ocurrir con algunos
proveedores que utilicen ciertos sistemas de
logueo).
Administrador de cuentas de
seguridad (Security accounts manager): Ejecutado por
lsass.exe, Almacena información de seguridad de cuentas de
usuarios locales. Controla todo tipo de información de
seguridad así que no lo toquemos, dejémoslo en
automático.
Administrador de discos lógicos (Logical disk
manager): Ejecutado por svchost.exe, Detecta y supervisa
unidades de disco duro
nuevas y envía información del volumen de disco
al Servicio de administración de discos lógicos
para su configuración. Si se detiene este servicio, la
información de estado y
configuración de discos dinámicos puede
quedar
desactualizada. Si se deshabilita este servicio, no se
podrá iniciar ninguno de los servicios que dependan
explícitamente de él. Podemos detenerlo y ponerlo
en Manual. Si estamos cambiando de discos rígidos en forma
constante, es recomendable dejarlo en Automático, ya que
la información del estado y configuración puede
quedar desactualizada.
Administrador de sesión de ayuda de escritorio
remoto (Remote Desktop Help
Session Manager): Ejecutado por sessmgr.exe,
Administra y controla la Asistencia remota. Si se detiene este
servicio, Asistencia remota no estará disponible. Antes de
detener el servicio, vea la ficha Dependencias en el cuadro de
diálogo
Propiedades.
Nunca llegamos a utilizar este servicio, éste es
uno de los ‘peligrosos’ ya que puede llegar a aceptar
una petición de conexión de alguien no deseado,
recomiendo deshabilitarla.
Adquisición de imágenes
de Windows (Windows Image Acquisition (WIA): Ejecutado
por svchost.exe, proporciona servicios de digitalización
de imágenes para escáneres y cámaras. Vamos
a detenerlo y ponerlo en Manual. Si se nos presentan problemas en
la utilización de los escáneres o cámaras
digitales, lo ponemos en Automático.
Almacenamiento protegido (Protected storage):
Ejecutado por lsass.exe, Ofrece almacenamiento
protegido para datos importantes, como claves privadas, para
impedir el acceso de servicios, procesos o usuarios no
autorizados. Esta es una decisión nuestra. Si queremos la
máxima seguridad y podemos prescindir de la
utilización del "Recordar contraseña", podemos
deshabilitar este servicio y ningún dato importante
será almacenado en nuestra PC. Si por el contrario, usamos
el "Recordar contraseñas" y otras funciones como el
"autocompletar", debemos dejar este servicio funcionando
(Automático).
Aplicación del sistema COM+ (COM+ System
aplication): Ejecutado por dllhost.exe, Administra la
configuración y el seguimiento de los componentes del
Modelo de
objetos componentes (COM+). Si se detiene el servicio, la
mayoría de los componentes COM+ no funcionarán
correctamente. Si se deshabilita este servicio, no se
podrá iniciar ningún servicio que dependa
específicamente de él. Lo podemos detener y poner
en Manual.
Salvo si contamos con aplicaciones que funcionen con
este tipo de componentes.
Audio de Windows (Windows Audio): Ejecutado por
svchost.exe, Administra dispositivos de audio para programas
basados en Windows. Si se detiene este servicio, los dispositivos
de audio y efectos no funcionarán correctamente. Si se
deshabilita este servicio, cualquier servicio que dependa
explícitamente de él tendrá un error al
iniciar. Lo dejamos en Automático, ya que es indispensable
para poder escuchar sonidos en la
computadora. Solo si no tenemos placa de sonido
podríamos deshabilitarlo.
Ayuda de NetBios sobre TCP/IP
(TCP/IP Netbios
helper): Ejecutado por svchost.exe, habilita la
compatibilidad con NetBios a través del servicio TCP/IP y
la resolución de nombres de NetBios. A menos que tengamos
una red Netbios deshabilitaremos este servicio, es otro de los
‘peligrosillos’
Ayuda y soporte técnico (Help and
support): Ejecutado por svchost, Habilita la ejecución
del Centro de ayuda y soporte técnico en este equipo. Si
se detiene este servicio, el Centro de ayuda y soporte
técnico no estará disponible. Si se deshabilita
este servicio, no se podrá iniciar ninguno de los
servicios que dependan explícitamente de
él.
Si no queremos recibir ayuda y soporte directamente de
la Web de Microsoft (en mi caso NO por las razones antes
mencionadas) procederemos a deshabilitar este servicio
tranquilamente.
Cliente de
seguimiento de vínculos distribuidos (Distributed Link
Tracking Client):
Ejecutado por svchost.exe, Mantiene vínculos
entre archivos NTFS dentro de un equipo o entre equipos en un
dominio de
red. Si no contamos con una red o no le damos utilidad a este
servicio, lo podemos detener y poner en Manual.
Cliente DHCP (DHCP Client): Ejecutado por
svchost.exe, administra la configuración de la red
registrando y actualizando direcciones IP y nombres DNS . Es
importante dejar este servicio en automático si nos
conectamos a internet.
Cliente DNS (DNS Client): Ejecutado por
svchost.exe, Resuelve y almacena en caché los nombres del
sistema de nombres de dominio (DNS) para este equipo. Si se
detiene este servicio, este equipo no podrá resolver
nombres DNS ni ubicar controladores de dominio en Active
Directory. Si se deshabilita este servicio, no se podrá
iniciar ninguno de los servicios que dependen
explícitamente de él. Si tu computadora
está en red deberás dejarlo en automático.
En caso contrario puedes deternerlo y ponerlo en Manual. Cuando
necesitemos Reparar la conexión a Internet, nos va a
aparecer un error que dice "Purgar la caché de
resolución DNS", por lo tanto vamos a tener que iniciar
este servicio para continuar la reparación.
Cliente Web (WebClient): Ejecutado por
svchost.exe, Habilita los programas basados en Windows para que
creen, tengan acceso y modifiquen archivos basados en Internet.
Si este servicio se detiene, estas funciones no estarán
disponibles. Si este servicio está deshabilitado,
cualquier servicio que explícitamente dependa de él
no podrá iniciarse.
Esto no sirve de nada, así que podemos
deshabilitarlo.
Cola de impresión (Print Spooler):
Ejecutado por spoolsv.exe, carga archivos en la memoria
para imprimirlos después. A menos que no contemos con una
impresora, debemos dejar este servicio en
automático.
Compatibilidad con
cambio rápido de usuario (Fast user Swiching
compatibility):
Ejecutado por svchost.exe, proporciona
administración para aplicaciones que necesitan asistencia
en un entorno de usuarios múltiples. De puede deshabilitar
sin miedo, a menos que contemos con diferentes cuentas de usuario
en nuestro sistema.
Conexión de seguridad a Internet (ICF) /
Conexión compartida a Internet (ICS)
(Internet Connection Firewall (ICF)
/ Internet Connection Sharing (ICS)): Ejecutado por
svchost.exe, Ofrece servicios de traducción de direcciones, direc
cionamiento, resolución de nombres y/o servicios de
prevención de intrusión para una red
doméstica o de pequeña empresa, si no
utilizamos el sistema de "Conexión compartida a Internet"
para establecer una red y tampoco usamos el Firewall de Windows,
podemos Deshabilitar este servicio.
Conexiones de Red (Network connection): Ejecutado
por svchost.exe, administra objetos en la carpeta Conexiones de
red y acceso telefónico, donde se pueden ver conexiones de
red de área local y remota.
Conexión inalámbrica rápida
(Wireless Zero
configuration): Ejecutado por svchost.exe, proporciona
configuración automática para los adaptadores
802.11. Si no contamos con este tipo de adaptadores para
conexiones inalámbricas podemos deshabilitar este
servicio.
Coordinador de transacciones distribuidas de
Microsoft (Distributed Transaction Coordinator): Coordina las
transacciones que se extienden a varios administradores de
recursos, como bases de datos,
colas de mensajes y sistemas de archivos. Si se detiene este
servicio, estas transacciones no se producirán. Si se
deshabilita el servicio, no se podrá iniciar ningún
servicio que dependa específicamente de él. No
tiene utilidad, lo detenemos y ponemos en manual.
DDE de red (Network DDE): Ejecutado por
netdde.exe, Ofrece transporte y
seguridad en la red para el Intercambio dinámico de datos
(DDE) para los programas que se ejecutan en el mismo equipo o en
diferentes equipos. Si este servicio se detiene, se
deshabilitarán el transporte y la seguridad DDE. Si este
servicio está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. No sirve de nada, lo detenemos y ponemos en
manual.
Detección de hardware shell (Shell
hardware detection): Ejecutado por svchost.exe, lo podemos
Deshabilitar. Si el sistema no nos reconoce alguna lectora, o
disquetera, o se torna molesto el chequeo de unidad que hace cada
vez que se ejecuta el Explorador de Windows, lo volvemos a poner
en Automático.
DSDM de DDE de red (Network DDE DSDM): Ejecutado
por netdde.exe, Administra los recursos de red Intercambio
dinámico de datos (DDE). Si este servicio se detiene, se
deshabilitarán los recursos compartidos de red DDE. Si
este servicio está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. Lo podemos deshabilitar.
Enrutamiento y acceso
remoto (Routing and remote access): Ejecutado por
svchost.exe, definitivamente hay que deshabilitarlo, es un
proceso que
abre más agujeros de seguridad.
Escritorio remoto compartido de NetMeeting
(NetMeeting remote desktop sharing):
Ejecutado por mnmsrvc.exe, Permite a los usuarios
autorizados acceder remotamente a su escritorio Windows usando
NetMeeting…a deshabilitarlo!
Estación de trabajo
(Workstation): Ejecutado por svchost.exe, Crea y mantiene
conexiones de cliente de red a
servidores remotos. Si se detiene el servicio, estas conexiones
no estarán disponibles. Si se deshabilita el servicio, no
se podrá iniciar
ninguno de los servicios que dependan
explícitamente de él. Lo dejamos en
automático.
Examinador de equipos (Computer browser):
Ejecutado por svchost.exe, Mantiene una lista actualizada de
equipos en la red y proporciona esta lista a los equipos
designados como exploradores. Si se detiene este servicio, esta
lista no se actualizará o mantendrá.
Si se deshabilita el servicio, no se podrá
iniciar ninguno de los servicios que dependan
explícitamente de él. No es utilizado así
que lo deshabilitamos.
Extensiones de controlador de
Instrumental de administración de Windows
(Windows Management Instrumentation Driver
Extensions): Ejecutado por svchost.exe, Proporciona
información de administración de sistemas a y desde
controladores. Podemos detenerlo y ponerlo en manual.
Horario de Windows (Windows time): Ejecutado por
svchost.exe, Mantiene la sincronización de fecha y hora en
todos los clientes y servidores de la red. Si se detiene este
servicio, no estará disponible la sincronización de
fecha y hora. Si se deshabilita este servicio, no se podrá
iniciar ninguno de los servicios que dependen
explícitamente de él.
Chequea la hora en forma automática con un
servidor de
Internet. Esto no sirve de nada, salvo que nuestra pila se haya
agotado y el reloj no muestre la hora en forma correcta.
Así que lo Deshabilitamos.
Host de dispositivo Plug and Play universal (Unive
rsal Plug and Play Device Host):
Ejecutado por svchost.exe, Proporciona compatibilidad
para albergar dispositivos Plug and Play universales. Lo podemos
detener y poner en Manual. Si algún componente deja de
funcionar lo volvemos a poner en Automático.
Inicio de sesión en red (Net logon):
Ejecutado por lsass.exe, admite la autenticación de pasos
de sucesos de inicio de sesión de cuenta para los equipos
en un dominio. La podemos deshabilitar, al menos que tengamos una
red y que ésta tenga configuración a través
de dominios y no de grupo de
trabajo.
Inicio de sesión secundario (Secondary
logon): Ejecutado por svchost.exe, habilita los procesos de
inicio en credenciales alternas. Si se detiene este servicio, se
deshabilitará este tipo de acceso de inicio de
sesión. No tiene uso realmente, así que lo podemos
deshabilitar tranquilamente.
Instantáneas de volumen (Volume shadow
copy): Ejecutado por vssvc.exe, Administra e implementa
Instantáneas de volumen usadas para copias de seguridad y
otros propósitos. Si este servicio se detiene, las
instantáneas se deshabilitarán para la copia de
seguridad y ésta dará un error. Si este servicio
está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. Si no usamos "Copia de seguridad" podemos detener y
poner en Manual este servicio.
Instrumental de
administración de Windows (Windows Management
Instrumentation): Ejecutado por svchost.exe, Proporciona una
interfaz común y un modelo de objeto para tener acceso a
la información de administración acerca de
un
sistema operativo, dispositivos, aplicaciones y
servicios. Si se detiene este servicio, la mayoría del
software basado en Windows no funcionará correctamente. Si
este servicio está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse.
No es recomendable detener este servicio, así que
lo dejamos en Automático.
Llamada a procedimiento
remoto (RPC – Remote procedure call): Ejecutado por
svchost.exe, ofrece el asignador de punto final y otros servicios
RPC diversos. Este servicio es fundamental para el funcionamiento
del sistema, lo dejaremos en automático.
Localizador de llamadas a procedimiento remoto (RPC
– Remote procedure call locator): Ejecutado por
locutor.exe, administra la base de datos
de servicios de nombres RPC. Realmente no tiene utilidad,
así que lo detendremos y lo pondremos en
manual.
Medios de almacenamiento extraíbles (Removable
storage): Ejecutado por svchost.exe, no tiene mayor uso, lo
podemos dejar en manual.
Mensajero (Messenger): Ejecutado por svchost.exe,
Transmite mensajes del servicio de alertas y el comando net send
entre clientes y servidores. Este servicio no está
relacionado con Windows Messenger. Si se detiene el servicio, no
se transmitirán los mensajes de alerta. Si se deshabilita
el servicio, no se podrá iniciar ninguno de los servicios
que dependan explícitamente de él. Lo podemos dejar
en manual.
MS Software Shadow Copy Provider: Ejecutado por
dllhost.exe, Administra instantáneas de volumen basadas en
software y tomadas por el Servicio de instantáneas de
volumen. Si se detiene el servicio, no se podrán
administrar las instantáneas de
volumen basadas en software. Si se deshabilita el
servicio, no se podrá iniciar ninguno de los servicios que
dependen explícitamente de él. Este servicio puede
ser utilizado por programas para crear imágenes como el
"Ghost" de Norton. Si no contamos con estos programas, podemos
Deshabilitarlo.
NLA (Network Location Awareness): Ejecutado por
svchost.exe, Recopila y almacena información de
configuración y ubicación de redes, e informa a las
aplicaciones cuando esta información cambia. Es necesario
para usar el servicio de "Conexión compartida a Internet"
cuando tenemos una red y compartimos una misma conexión a
internet. Si no usamos ese servicio podemos
Deshabilitarlo.
Notificación de sucesos del sistema (System
event notification service): Ejecutado
por svchost.exe, Registra sucesos del sistema como los
de inicio de sesión en Windows, red y energía, y
los notifica a los suscriptores de sucesos del sistema COM+. Esto
queda a criterio propio, se podría deshabilitar siempre y
cuando no necesitemos que se registre los inicios de
sesión en el sistema. Particularmente prefiero tenerlo
automático.
Plug and Play: Ejecutado por services.exe,
Habilita un equipo para que reconozca y adapte los cambios de
hardware con el menor esfuerzo por parte del usuario. Si se
detiene o deshabilita este servicio, el sistema se volverá
inestable. Este servicio se
encarga de detectar los cambios de dispositivos Plug ann
Play, es decir, todos aquellos dispositivo "Quita y Pon" como lo
son las tarjetas gráficas, módems, unidades Zip, etc.
No es recomendable deshabilitarlo.
Portafolios (ClipBook): Ejecutado por
clipsrv.exe, Habilita el Visor del Portafolios para almacenar
información y compartirla con equipos remotos. Si se
detiene el servicio, el Visor del Portafolios no podrá
compartir información con los equipos remotos. Si se
deshabilita este servicio, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. No tiene utilidad, lo detenemos y lo ponemos en
manual.
Programador de tareas (Task Scheduler): Ejecutado
por svchost.exe, Habilita un usuario para que configure y
programe tareas automáticas en este equipo. Si se detiene
este equipo, estas tareas no se ejecutarán en sus horas
programadas. Si este servicio está deshabilitado,
cualquier servicio que explícitamente dependa de él
no podrá iniciarse.
Es necesario para que funcione el prefetch, que acelera
la ejecución de los programas. Además, se encarga
de programar tareas como la actualización de Antivirus. Yo
personalmente prefiero deshabilitarlo.
Proveedor de compatibilidad con seguridad LM de
Windows NT (NT
LM Security
Support Provider): Ejecutado por lsass.exe,
Ofrece seguridad a programas de llamada a procedimiento remoto
(RPC) que utilizan transportes diferentes de conductos con
nombres. No es necesario. Deshabilitarlo.
QoS RSVP: Eejecutado por rsvp.exe, ofrece
funcionalidad de señalización de red y control del
tráfico local para programas y subprogramas de control
compatibles con QoS. Deshabilitarlo.
Registro de sucesos (Event log): Ejecutado por
services.exe, Habilita mensajes de registro de
sucesos emitidos por programas basados en Windows y componentes
para que se vean en Visor de sucesos. Este servicio no se puede
detener.
Registro remoto (Remote registry): Ejecutado por
svchost.exe, Habilita usuarios remotos para que modifiquen la
configuración del Registro en este equipo. Si se detiene
este servicio, cualquier usuario en este equipo puede modificar
el Registro. Si este servicio está deshabilitado,
cualquier servicio que explícitamente dependa de él
no podrá iniciarse. Es uno de esos servicio que HAY que
deshabilitar. Lo explico, el registro de Windows es donde se
almacenan las configuraciones principales, se registran los
programas, y se realizan configuraciones de carácter delicado, más adelante en
esta guía, ofreceré algunos tips para el registro
de Windows, pero no queremos abrirle las puertas de par en par a
u fulano para que modifique nuestro registro. Detener y
Deshabilitar este servicio.
Registros y alertas de rendimiento (Performance Logs
and Alerts): Ejecutado por smlogsvc.exe, Recopila
información de rendimiento de equipos locales o remotos de
acuerdo a parámetros de programación configurados previamente,
luego guarda la información en un registro o emite una
alerta. Si se detiene el servicio, no se recopilará la
información de rendimiento. Si se deshabilita el servicio,
no se podrá iniciar ninguno de los servicios que dependan
explícitamente de él. Ya es cuestión de cada
quien, yo no lo uso y realmente no tiene mucho uso, pero si
necesitan recopilar información del rendimiento de su (s)
PC’s déjenlo habilitado, de lo contrario
deshabilitarlo.
Servicio de alerta (Alerter): Ejecutado por
svchost.exe, notifica a usuarios y equipos seleccionados de
alertas administrativas. Si se detiene el servicio, los programas
que utilizan alertas administrativas no las recibirán. Si
el servicio se deshabilita, no se podrá iniciar ninguno de
los servicios que dependen explícitamente dependen de
él. No es utilizado, lo detenemos y ponemos en
manual.
Servicio de descubrimientos SSDP (SSDP Discovery
Service): Ejecutado por svchost.exe, habilita el
descubrimiento de dispositivos UPnP en su red doméstica.
Podría llegar a ser usado en una red, pero si no tenemos
una podemos ponerlo en manual, si por alguna razón tenemos
problemas con dispositivos externos lo ponemos en
automático.
Servicio de Index Server (Indexing service):
Ejecutado por cisvc.exe, Indexa el contenido y las propiedades de
archivos en equipos locales y remotos; ofrece acceso inmediato a
archivos a través de un lenguaje de
consulta flexible. No es recomendado tenerlo activo, lo podemos
deshabilitar.
Servicio de informe de
errores (Error reporting service): Ejecutado por svchost.exe,
Permite informar de errores para servicios y aplicaciones que se
ejecutan en entornos no estándar. Este servicio
informará a Microsoft de los errores que puedan darse en
nuestro sistema, para eso se necesita conexión a Internet.
Es uno de esos servicio que denomino
‘peligrosillos’ ya que mantiene informado a
Bill Gates de
lo que hacemos…deshabilitar.
Servicio de puerta de enlace de capa de
aplicación (Application Layer Gateway Service):
Ejecutado por alg.exe, Proporciona soporte a otros complementos
de protocolo para
Conexión compartida a Internet y Servidor de seguridad de
conexión a Internet. Si no usamos "Conexión
compartida a Internet" o el firewall de WinXP lo
deshabilitamos.
Servicio de restauración de sistema (System
Restore Service): Ejecutado por svchost.exe, Realiza
funciones de restauración del sistema. Para detener el
servicio, desactive Restaurar sistema en la ficha de Restaurar
sistema en propiedades de Mi PC.
Una de las opciones de XP es que se puede "Restaurar el
sistema" si ocurre un error grave, bueno, en teoría…si esta opción no la
utilizamos entonces podemos deshabilitar este
servicio.
Servicio de transferencia inteligente en segundo
plano (Background Intelligent
Transfer Service): Ejecutado por svchost.exe, Usa
el ancho de banda de la red inactiva para transferir datos.
Deshabilitado.
Servicio del administrador de
discos lógicos (Logical Disk Manager
Administrative
Service): Ejecutado por dmadmin.exe, Configura
las unidades de disco duro y volúmenes. El servicio
sólo se ejecuta para procesos de configuración y a
continuación se detiene. Por lo general está en
manual, ya que como dice la explicación anterior
después que se usa el proceso se detiene.
Servicio del número de serie de medio
portátil (Portable Media Serial Number):
Ejecutado por svchost.exe, Recupera el número de
serie de cualquier reproductor de medio portátil conectado
al equipo. Si este servicio se interrumpe, puede que los
contenidos protegidos no se descarguen en el dispositivo, lo
detenemos y ponemos en Manual. Si se nos presentan problemas con
estos dispositivos lo habilitamos nuevamente.
Servicios de cifrado (Cryptographic Services):
Ejecutado por svchost.exe, Proporciona tres servicios de
administración: Servicio de catálogo de base de
datos, que confirma las firmas de archivos de Windows; Servicio
de raíz protegida, que agrega y quita certificados de
entidades emisoras de raíz de confianza de este equipo; y
el Servicio de claves, que ayuda a inscribir este equipo a
certificados. Si se detiene este servicio, sus servicios de
administración mencionados no funcionarán
correctamente. Si se deshabilita este servicio, no se
podrán iniciar ninguno de los servicios que dependen
explícitamente
de él, verifica las firmas de las actualizaciones
y archivos para Windows. Lo necesita el Windows Update. Lo
podemos dejar en Manual y lo iniciamos cuando sea
necesario.
Servicios de Terminal Server (Terminal Services):
Ejecutado por svchost.exe, Permite que varios usuarios se
conecten de forma interactiva a un equipo y que se muestren los
escritorios y aplicaciones de equipos remotos. El acoplamiento de
Escritorio remoto (incluido Escritorio remoto para
administradores), Cambio rápido de usuarios, Asistencia
remota y Terminal Server, lo podemos Deshabilitar si no usamos
esas funciones.
Servicios IPSEC (IPSEC Service): Ejecutado por
lsass.exe, Administra la directiva de seguridad IP e inicia el
controlador ISAKMP/Oakley (IKE) y de seguridad IP. Queda a
criterio propio…en mi opinión cada cosita que pueda
dar un poco más de confianza al nivel de seguridad de mi
equipo será bienvenida… siempre y cuando no
‘joda’ más de lo que logra.
Servidor (Server): Ejecutado por svchost.exe,
Ofrece compatibilidad con uso compartido de archivos, impresoras y
canalizaciones con nombres en la red para este equipo. Si se
detiene el servicio, estas funciones no estarán
disponibles. Si se deshabilita el servicio, no se podrá
iniciar ninguno de los servicios que dependan
explícitamente de él. Lo podemos
deshabilitar si no lo necesitamos.
Sistema de alimentación
ininterrumpida (Uninterruptible Power Supply): Ejecutado por
ups.exe, Administra un sistema de alimentación
ininterrumpida (UPS) conectado al equipo. Si no tenemos un UPS no
necesitamos este servicio cargado.
Sistema de ayuda de tarjeta inteligente (Smart Card
Helper): Ejecutado por SCardSvr.exe, Ofrece compatibilidad
con tarjetas lectoras de tarjetas inteligentes heredadas (no plug
and play) usadas por el equipo. Si este servicio se detiene, el
equipo no será compatible con la tarjeta lectora heredada.
Si este servicio está deshabilitado, cualquier servicio
que explícitamente dependa de él no podrá
iniciarse. Si no posees una tarjeta inteligente lo
deshabilitas.
Sistema de sucesos COM+ (COM+ Event System):
Ejecutado por svchost.exe, Admite el Servicio de
notificación de eventos del
sistema (SENS), que proporciona la distribución
automática de eventos a los componentes del Modelo de
objetos componentes (COM). Si se detiene este servicio, SENS se
cerrará y no podrá ofrecer notificaciones de inicio
ni de cierre de sesión. Si se deshabilita el servicio, no
se podrá iniciar ningún servicio que dependa
específicamente de él. Es recomendable dejarlo en
automático.
Tarjeta inteligente (Smart Card): Ejecutado por
SCardSvr.exe, Administra el acceso a una tarjeta inteligente de
la el equipo hace lectura. Si
este servicio se detiene, el equipo no podrá leer las
tarjetas inteligentes. Si este servicio está
deshabilitado, cualquier servicio que explícitamente
dependa de él no podrá iniciarse. Si no posees una
tarjeta inteligente lo puedes deshabilitar.
Telefonía: (Telephoni): Ejecutado por
svchost.exe, Ofrece compatibilidad con la API de telefonía (TAPI) para programas que
controlan dispositivos de telefonía y conexiones de voz
basadas en IP en el equipo local y, a través de la
LAN, en
servidores que utilizan también el servicio. Es requerido
por la conexión de módem (Dial Up). Si no tenemos
un módem lo podemos deshabilitar.
Telnet: Ejecutado por tlntsvr.exe, Permite que un
usuario remoto inicie sesión en el equipo y ejecute
programas, y sea compatible con varios clientes de Telnet TCP/IP,
incluyendo los equipos basados en UNIX y
Windows. Si este servicio se detiene, es posible que el acceso al
usuario remoto no esté disponible. Si este servicio
está deshabilitado, cualquier servicio que
explícitamente dependa de él no podrá
iniciarse. ¿Qué más se puede decir?
sencillamente lo deshabilitamos ya que nos pueden
‘hacer’ telnet remotamente e introducirse a nuestro
sistema.
Temas (Themes): Ejecutado por svchost.exe,
proporciona administración de temas de experiencia de
usuario. Este servicio es el que le da ese aspecto
‘diferente’ al XP, lo podemos deshabilitar para ver
como luce la apariencia de XP sin él, el resto es
cuestión de gustos.
Windows installer: Ejecutado por msiexec.exe,
Instala, repara y quita software de acuerdo con las instrucciones
contenidas en archivos .MSI. Lo dejamos en manual, así se
ejecutará cuando sea necesario.
Otros útiles
pasos para mejorar el nivel de seguridad:
Pues bien, ya sabemos algo más sobre los procesos
y servicios que se ejecutan en nuestro sistema operativo.
Vallamos ahora a recalcar lo que NO debería estar activo
por razones de seguridad: El servicio de informes de
errores, las actualizaciones automáticas, el registro
remoto, la ayuda sobre NetBios (TCP/IP), el enrutamiento y acceso
remoto deberían estar deshabilitados.
Bien, ahora vallamos a Mi PC -> Propiedades ->
opciones avanzadas -> Inicio y recuperación ->
ahí desactivaremos los tres casillas de "Errores del
sistema"
Si tienes un servidor Web o FTP, recuerda
abrir los puertos en las opciones de configuración,
también se pude añadir un puerto en concreto para
deshabilitar el NetBios (sobre tcp/ip) ir a "propiedades de red"
en la pestaña general de ahí seleccionar el campo
"protocolo Internet (tcp/ip)" darle en propiedades, saldrá
otra ventana. En la pestaña general ir a "opciones
avanzadas" en la pestaña WINS deshabilitar NetBios sobre
(tcp/ip) y dar aceptar a todo. Con esto deshabilitamos los
puertos TCP 139 UDP 137 y 138"
Estas son las zonas de seguridad que Windows maneja en
el registro: Zona 0 = Mi PC (nuestro equipo); Zona 1 = Intranet local
(sitios Web de la red local); Zona 2 = Sitios de confianza
(aquellos que sabemos seguros), Zona 3
= Internet (todos los sitios que no estén en las otras
zonas) y Zona 4 = Sitios restringidos (sitios que sabemos
peligrosos).
Si selecciona las opciones de configuración de
seguridad (en el Panel de control o en Herramientas del IE,
Propiedades de Internet, Seguridad), verá que tiene la
posibilidad de actuar sobre la configuración de las zonas
conocidas como Internet (Zona 3), Intranet local (Zona 1), Sitios
de confianza (Zona 2) y Sitios restringidos (Zona 4). Pero no hay
opciones para actuar en la crítica
zona reservada para la ejecución local en su equipo (Zona
0).
Para proceder a cambiar esta configuración,
deberá utilizar el editor del registro de Windows. Para
ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
Luego, en el panel izquierdo abra la siguiente rama, pulsando en
el símbolo + hasta abrir la última carpeta de la
rama, la llamada 0:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Internet Settings
Zones
Pulse sobre la carpeta "0" para abrirla, y en el panel
de la derecha, bajo la columna "Nombre", haga doble clic sobre el
valor "Flags".
Se abrirá la ventana "Editar valor DWORD". Allí, en
"Información del valor" (Base 'Hexadecimal'), cambie el
"21" por un "1" y seleccione "Aceptar". En la columna "Datos"
debería quedar algo como "0x00000001 (1)"
Salga del editor del registro (menú "Registro",
"Salir"). Ahora, si selecciona las zonas de seguridad en el
Internet
Explorer (Herramientas, Opciones de Internet, Seguridad),
deberían aparecer todas las zonas, incluida "Mi PC". Si
por algún motivo quisiera hacer que "Mi PC" volviera a
quedar oculto, solo repita el procedimiento anterior, volviendo a
colocar el valor "21" en lugar de "1" en "Flags". Pues bien,
¿qué ganamos con esto?
Sencillo, tenemos la oportunidad de definir ciertas
opciones en nuestro equipo de acuerdo a nuestro criterio. Pero NO
cambies nada si no sabes lo que estas haciendo. Entre las
opciones (por nombrar alguna) podemos evitar que se descarguen
archivos de internet, la utilidad de esto es (en caso de que no
queramos que alguien en nuestra red) que podemos evitar que se
descargue software, música u otros
archivos.
Restringir el uso
de carpetas compartidas por usuario
Compartir archivos y carpetas se puede administrar de
dos formas. Si eliges el uso compartido sencillo de archivos,
podrás compartir tus carpetas con cualquier persona de tu
red o grupo de trabajo, o puedes privatizar tus carpetas.
(Así es como se comparten las carpetas en Windows 2000).
Sin embargo, en Windows XP Profesional, también puedes
establecer permisos de carpeta para usuarios o grupos
específicos.
Especifica que usuarios pueden tener acceso a las
carpetas compartidas y que carpetas o información pueden
ver o no. Abrir Mi PC, menú herramientas, opciones de
carpeta, pestaña "ver", en la configuración
avanzada deshabilitar la opción "utilizar uso compartido
simple de archivos" Con esta opción deshabilitada podremos
ver que al dar un clic derecho del Mouse sobre un
archivo o
carpeta, en el menú contextual que se desplaza, ir a la
opción "propiedades", en la ficha que aparece, podemos ver
que hay una nueva: "Seguridad". Si entramos en ella nos da la
útil opción de decidir quien tiene acceso o no a
determinados archivos o carpetas. OJO aquí, si quitamos de
la lista a SYSTEM y es un archivo que necesita el sistema "la
cagamos!!!" Por lo general el uso de esto es para dar permisos de
lectura/escritura de
acuerdo a nuestro criterio. Demos un ejemplo del
asunto:
Si mi máquina la usan: Pedro (Usuarios), Juan
(Invitado) y Yo (Administrador), puedo negarle a Juan que tenga
acceso a mis archivos y a Pedro puedo darle acceso solamente a
una determinada carpeta. Para administrar permisos de carpeta,
localiza la carpeta, haz Clic con el ratón derecho en la
carpeta y a continuación, haz clic en Propiedades. Haz
clic en la ficha Seguridad y asígnale permisos, de control
total, modificación, lectura o lectura y escritura a cada
uno de los usuarios. Puedes establecer permisos de archivos y
carpetas sólo en las unidades formateadas para utilizar el
sistema de archivos NTFS, y tu
debes ser el propietario o tener permiso del
propietario.
Vallamos al Editor de registro. Para ello pinchamos en
INICIO -> Ejecutar: "regedit" y le damos a enter. Buscamos la
llave HKEY_CURRENT_USER -> Control Panel -> Desktop y
localizamos allí la clave "WaitToKillAppTimeout" y hacemos
doble clic sobre ella.
A continuación cambiamos el valor de 20.000 (que
ya trae por defecto) por el de 4.000.
Ahora, y sin salir del editor, accedemos a
HKEY_LOCAL_MACHINE -> System -> Current Control ->
Control, para localizar de nuevo la clave "WaitToKillAppTimeout"
y repitiendo la misma operación de antes cambiamos el
valor de 20.000 a 4.000. Con esto logramos que al mandar a apagar
el sistema, lo haga de una manera más rápida y
así no tendremos que esperar a que nos salgan
canas.
Habilitar función de
encriptación
Para habilitar la función de Encriptar cuando
hacemos clic con el ratón derecho sobre un archivo o una
carpeta, debemos tener en cuenta que esta función solo es
válida si cuando se instaló Windows XP se hizo
sobre una partición NTFS de lo contrario este truco no
funcionará. Para que aparezca en el menú contextual
la opción de Encriptar debemos seguir estos
pasos:
Hacemos clic en el botón Inicio y luego en
Ejecutar, posteriormente escribimos Regedit y pulsamos el
botón Aceptar. Ahora dentro de regedit nos desplazamos por
las siguientes claves:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerAdvance
d
Ahora hacemos clic con el ratón derecho en el
panel derecho y creamos una entrada de tipo DWORD. Le damos el
nombre EncryptionContextMenu y luego hacemos doble clic sobre
él y le ponemos el valor 1. Ahora cuando le demos a un
archivo o carpeta con el ratón derecho aparecerá la
opción de Encriptar en el menú
contextual.
Como ya es sabido, Windows es el sistema operativo
más usado actualmente, pero carece de seguridad interna;
por tal motivo siempre es bueno seguir algunas normativas
generales y otras menos conocidas para mantener la integridad de
nuestro sistema. Ya sabemos que es MUY aconsejable mantener al
día el sistema, actualizar periódicamente nuestro
Windows con las "actualizaciones críticas" desde la
página
Web de Microsoft, mantener al día nuestro antivirus,
etc. Pero eso ya no es suficiente. Windows es el sistema
operativo más usado pero también el que más
ataques recibe, es el más ‘amigable’ pero es
un SO de propietario, es decir, tienes que pagar por el. En
muchos países no es así, si eres un usuario
‘casero’ no tendrás problemas en adquirir una
copia ilegal del sistema y usarla sin miedo a ser enjuiciado.
Pero en otros casos si hay que pagar por ‘tener
derecho’ a usar el sistema operativo de Microsoft. En la
actualidad, en el auge en donde la oleada de "Software
Libre" está ganando terreno, ya existen otras
opciones, como Linux, que es un
sistema operativo "construido por muchos", gratuito,
versátil, potente, estable y seguro…pero no es mi intención
comparar, al menos no en esta guía.
Tenemos que recurrir al uso de aplicaciones extras para
mejorar el nivel de protección e integridad de nuestro
sistema, en particular recomiendo el uso de un Firewall (corta
fuegos). Un Firewall es un dispositivo (Físico o
lógico) que filtra lo que entra y sale de nuestro
computador. Es recomendable tener uno cuando navegamos por la Web
o compartimos información en nuestra red. Personalmente
recomiendo ZoneAlarm. Es (por muchos, incluyéndome a
mí) el mejor Firewall existente para Windows. Hay una
versión gratuita que puede ser descargada desde la
página oficial www.zonealarm.com Su instalación es
sencilla, incluso al finalizar la instalación se ejecuta
el ‘Wizard’ de la aplicación, es decir, el
tutorial para que configures (si no sabes) dicho
programa.
Espero que esta guía (al menos esta
versión) haya sido de utilidad. Por cualquier duda,
reclamo o comentario envíame un e-mail a
webmaster[arroba]dondeandes.com
o visita la página www.dondeandes.com en donde quizás
encuentres información para mejorar en tu ámbito
informático.
N4ndØ
…..:::
DondeAndes.CoM :::…..
Autor:
Arnaldo "N4ndØ" Cortes