Niveles de integridad en procesos de Windows

Windows define cuatro niveles de integridad: bajo, medio, alto y system. Los usuarios estándar reciben el nivel medio, los usuarios elevados reciben el nivel alto. Los procesos que se inician y los objetos que se crean reciben su nivel de integridad (medio o alto) o bajo si el nivel del archivo ejecutable es bajo; los servicios del sistema reciben la integridad del sistema.

Para validar todo lo anterior, podemos ejecutar el siguiente comando desde una terminal:

Y si ejecutamos este mismo comando en un CMD sin privilegios, se obtendrá el siguiente resultado:

Cuando un administrador local inicia sesión en Windows, se crean dos tokens de acceso: Uno con derechos de administrador y otro con derechos normales. Por defecto, cuando este usuario ejecuta un proceso se utiliza el que tiene derechos normales (no de administrador). Cuando este usuario intente ejecutar algo como administrador ("Ejecutar como administrador" por ejemplo) se utilizará el UAC para pedir permiso.

Enlace de referencia:

https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/integrity-levels

AnteriorTokens de acceso en Windows SiguientePrivilegios en Windows

Última actualización hace 9 meses