Aislamiento de privilegios de interfaz de usuario

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 14 de enero de 2018; las comprobaciones requieren 7 ediciones .

componente de Windows
Aislamiento de privilegios de interfaz de usuario
Incluido en	Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 , Windows Server 2016
Descripción del servicio	Control de acceso a los procesos del sistema

El aislamiento de privilegios de interfaz de usuario (UIPI ) es  una tecnología introducida en Windows Vista y Windows Server 2008 para combatir ataques destructivos . Usando el control de integridad obligatorio , evita que los procesos con un nivel de integridad más bajo envíen mensajes a procesos con un nivel de integridad más alto (excepto para un conjunto muy específico de mensajes de interfaz de usuario). [1] Los mensajes de ventana están destinados a transmitir las acciones del usuario a los procesos. Sin embargo, se pueden usar para ejecutar código arbitrario en el contexto del proceso de recepción. Esto puede ser aprovechado por un proceso malicioso con un nivel de integridad bajo para ejecutar código arbitrario en el contexto de un proceso con un nivel de integridad más alto, lo que constituye una escalada de privilegios . UIPI le permite proteger los sistemas de los ataques de subversión al restringir el acceso a ciertos vectores para la ejecución de código y la inyección de datos. [2]

La UIPI y la integridad obligatoria son, en general, una función de seguridad, pero no un límite de seguridad. Se puede permitir que las aplicaciones de IU públicas omitan UIPI configurando "uiAccess" en TRUE como parte de su archivo de manifiesto. Sin embargo, para que este indicador se establezca en la UIPI de Windows, la aplicación debe estar instalada en Archivos de programa o en el directorio de Windows, tener una firma digital válida y verificarse con un archivo . La instalación de una aplicación en cualquiera de estas ubicaciones requiere al menos un usuario con privilegios de administrador local que se ejecute en un proceso de alta integridad.

Por lo tanto, el malware que intente pasar a una posición en la que pueda eludir la UIPI debe:

1. Utilice un certificado válido emitido con un código de autorización aprobado.
2. Realizar un ataque contra un usuario con derechos administrativos
3. Persuadir al usuario para que confirme la ejecución del programa como administrador en la ventana UAC .

Microsoft Office 2010 usa UIPI para "Vista protegida" para evitar que documentos potencialmente dañinos modifiquen componentes, archivos y otros recursos en el sistema. [3]

Véase también

• Control de integridad obligatorio
• Control de cuentas del usuario

Notas

1. ↑ Requisitos de desarrollo de aplicaciones de Windows Vista para el Control de cuentas de usuario (UAC)  (  enlace inaccesible) . msdn2.microsoft.com. Consultado el 2 de enero de 2018. Archivado desde el original el 23 de agosto de 2011.
2. ↑ Édgar Barbosa. Windows Vista UIPI (enlace no disponible) . COSEINC (22 de octubre de 2011). Consultado el 2 de enero de 2018. Archivado desde el original el 26 de marzo de 2016. (indefinido) 
3. ↑ Malhotra, Mike Vista protegida en Office 2010 . tecnet . Microsoft (13 de agosto de 2009). Consultado el 22 de septiembre de 2017. Archivado desde el original el 2 de febrero de 2017. (indefinido)

Componentes de Microsoft Windows
Principal	aerodinámico tipo claro Administrador de ventanas de escritorio DirectX barra de tareas comienzo área de notificación Conductor espacio de nombres Carpetas Especiales Asociaciones de archivos Búsqueda de Windows carpetas inteligentes IFiltro servicio de indexación GDI WIM PYME .NET Framework XPS Secuencias de comandos activas WSH VBScript JScript COM VIEJO DCOM ActiveX Almacenamiento estructurado servidor de transacciones Copia de la sombra WDDM SAU Consola Win32 Destacado de Windows Realidad mixta de Windows
Servicios de gestión	Copia de seguridad y restaurar COMANDO.COM cmd.exe Herramienta de transferencia Visor de eventos instalador netsh Potencia Shell Informes de emisión rundll32.exe Programa de preparación del sistema ( Sysprep ) Configuración del sistema ( MSConfig ) Comprobador de archivos del sistema índice de rendimiento Centro de actualización Restauración del sistema Desfragmentador de disco Administrador de tareas Administrador de dispositivos Consola de administración Limpieza de disco Configuración de Windows Panel de control ( elementos )
Aplicaciones	Win32 explorador de Internet Borde de Microsoft Pintar bloc de palabras skype Computadora portátil notas Revista grabación de sonido Tijeras Programa de Colaboración reproductor de medios de Windows Reconocimiento de voz Editor de personajes personales Ver fotos tabla de símbolos Fax y escaneo Centro de movilidad Centro de dispositivos móviles de Windows lupa UWP Tienda de Microsoft Pintura 3D Asistencia remota Calendario Calculadora Cine y televisión Cortana Música de ritmo Gente Opciones Correo Foto Narrador histórico Actualizar en cualquier momento Estudio Reunión en la red Outlook Express Director del programa Administrador de archivos album de fotos Ventanas para llevar Contactos estudio de DVD centro de Medios Panel lateral
Juegos	Titanes del ajedrez lugar purpura Solitario bufanda Araña Tenia mahjong de microsoft Colección de solitarios de Microsoft Zapador pinball Corazones bola de tinta Microsoft Tinker
núcleo del sistema operativo	Ntoskrnl.exe Capa de abstracción de hardware (hal.dll) Sistema inactivo svchost.exe Registro Servicio Gerente de Control de Servicios DLL EDUCACIÓN FÍSICA NTLDR Gestor de descargas Programa de inicio de sesión (winlogon.exe) Consola de recuperación Windows RE Windows PE Proteger el núcleo de los cambios
Servicios	Autorun.inf Servicio de Transferencia Inteligente de Fondo Sistema de archivo de diario estándar Informes de errores Planificador de clases de medios Copia de la sombra Administrador de tareas Configuración inalámbrica
Sistemas de archivos	REFS NTFS enlace duro punto de conexión punto de montaje Punto de análisis Enlace simbólico TxF EFS WinFS GRASA exFAT CDFS FDU SFD IFS
Servidor	Directorio Activo Servicios de implementación Servicio de replicación de archivos DNS Dominios Redirección de carpetas Hiper-V IIS Servicios de medios MSMQ Protección de acceso a la red (NAP) Servicios de impresión para UNIX Compresión diferencial remota Servicios de instalación remota Servicios de gestión de derechos Perfiles de usuarios itinerantes SharePoint Administrador de recursos del sistema Programa de administración remota WSUS Política de grupo Coordinador de Transacciones Distribuidas
Arquitectura	Nuevo Testamento Administrador de objetos Paquetes de solicitud de E/S Administrador de transacciones del núcleo Administrador de discos lógicos Gerente de cuentas de seguridad Protección de recursos lsass.exe csrss.exe sms.exe spoolsv.exe lanzar
La seguridad	bloqueador de bits Defensor prevención de ejecución de datos Control de integridad obligatorio Canal de datos seguro UAC UIPI cortafuegos Centro de Seguridad Protección de archivos
Compatibilidad	Subsistema UNIX (Interix) máquina virtual DOS Windows en Windows guau64