Servicios y Procesos de Windows - Administración y Seguridad
🛠️ Servicios de Windows
- 📌 Los servicios son procesos de larga duración que pueden iniciarse automáticamente al arrancar el sistema.
- ⚡ Se ejecutan en segundo plano, incluso sin sesión iniciada.
- 🖥️ Se gestionan mediante el Service Control Manager (SCM) accesible en
services.msc. - 🔑 Pueden iniciarse: Automático, Manual o Automático (retrasado).
- 🚫 Algunos servicios críticos no pueden detenerse sin reiniciar el sistema.
🧰 Administración de servicios
services.msc— 🖱️ GUI de administración de servicios.sc.exe query— 🔍 Muestra servicios desde la consola.Get-Service(PowerShell) — 📜 Lista servicios y sus estados.
Ejemplo en PowerShell (filtrar solo servicios en ejecución):
Get-Service | ? {$_.Status -eq "Running"}
📂 Categorías de servicios
-
🏠 Locales → Servicios internos del sistema.
-
🌐 De red → Servicios relacionados con comunicación (ej. RPC, DCOM).
-
🔒 Del sistema → Críticos para el arranque y estabilidad de Windows.
🔑 Servicios y procesos críticos
| 🖥️ Servicio/Proceso | 📖 Descripción |
|---|---|
smss.exe — 🧩 |
Session Manager Subsystem, gestiona sesiones. |
csrss.exe — 🧑💻 |
Proceso de Cliente/Servidor en modo usuario. |
wininit.exe — 🔄 |
Ejecuta tareas tras reinicios e instalaciones. |
logonui.exe — 🔐 |
Maneja la interfaz de inicio de sesión. |
lsass.exe — 🛡️ |
Autenticación local, creación de tokens de usuario. |
services.exe — ⚙️ |
Administra inicio/parada de servicios. |
winlogon.exe — 🔓 |
Maneja login seguro, perfiles y bloqueo. |
System — 📦 |
Proceso en modo kernel. |
svchost.exe (RPCSS) — 🔌 |
Host de servicios basados en DLL (ej. Firewall, Windows Update). |
svchost.exe (DCOM/PnP) — 📡 |
Maneja DCOM y Plug & Play. |
👤 Procesos en Windows
-
🌀 Procesos = instancias de programas en ejecución.
-
📋 Algunos son seguros de finalizar (ej. apps de usuario).
-
🚨 Otros son críticos (ej. LSASS, Winlogon, CSRSS).
🔐 Proceso LSASS (Local Security Authority Subsystem Service)
-
Archivo:
lsass.exe. -
Funciones principales:
-
✔️ Verificar inicio de sesión.
-
✔️ Crear tokens de acceso.
-
✔️ Manejar cambios de contraseñas.
-
✔️ Registrar eventos de autenticación en Event Viewer.
-
-
🎯 Es un objetivo prioritario para ataques → puede contener hashes y credenciales en memoria.
🧰 Herramientas de Sysinternals
Paquete de utilidades avanzadas para administración/forense:
-
🌐 Acceso online:
\\live.sysinternals.com\tools -
procdump.exe— 📝 Generar volcado de procesos. -
Process Explorer— 🔍 Alternativa mejorada a Task Manager. -
Process Monitor— 📊 Monitorear actividad de archivos, registro y red. -
TCPView— 🌐 Ver conexiones TCP activas. -
PsExec— 🖇️ Administración remota vía SMB.
Ejemplo ejecutar ProcDump remoto sin instalar:
\\live.sysinternals.com\tools\procdump.exe -accepteula
🖥️ Administrador de Tareas
Herramienta nativa (taskmgr) para ver procesos y servicios.
📊 Pestañas principales
| 🗂️ Pestaña | 📖 Función |
|---|---|
| Procesos — 🧾 | Apps y procesos en segundo plano con consumo de CPU, RAM, disco, red. |
| Rendimiento — 📈 | Gráficos en tiempo real de CPU, RAM, Disco, Red, GPU. |
| Historial de aplicaciones — 📊 | Uso de recursos de apps por usuario. |
| Inicio — 🚀 | Programas configurados para ejecutarse al arrancar. |
| Usuarios — 👥 | Sesiones de usuario activas y sus procesos. |
| Detalles — 🔎 | PID, usuario, consumo exacto de procesos. |
| Servicios — ⚙️ | Lista servicios + acceso directo a services.msc. |
🔍 Process Explorer (Sysinternals)
-
👀 Muestra qué DLLs/controladores están cargados por cada proceso.
-
🌳 Relación de procesos padre-hijo.
-
🧭 Detecta procesos huérfanos o sospechosos.
-
🔍 Permite buscar procesos que usan un handle o una DLL específica.