¿Qué es TrustedInstaller? ¿Quién es el usuario TrustedInstaller?

Muchos de los archivos de sistema en C:\Windows el Administrador o grupo Administradores solo tienen permisos de lectura y lectura y ejecución. Así aunque seamos administrador de nuestra maquina no podremos modificar estos archivos. El único usuario con permisos de Control Total, Modificar y Escritura es TrustedInstaller.

TrustedInstaller es el servicio de Instalador de módulos de Windows (Windows Module Installer en Inglés). Este servicio de Windows, en Manual por defecto, es el encargado de realizar las instalaciones de algunos productos, sobre todo actualizaciones de Windows Update. Para realizar la instalación de algunos productos Windows usan el servicio de Windows Installer que llaman a su vez al servicio TrustedInstaller. Antes del Service Pack 1 de Vista este servicio se arrancaba siempre con el equipo pudiendo realizar todo el consumo de la CPU.

La descripción del servicio dice:

Habilita la instalación, modificación y eliminación de actualizaciones y componentes opcionales de Windows. Si este servicio está deshabilitado, es posible que no se puedan instalar o desinstalar correctamente las actualizaciones de Windows en este equipo.

Este servicio de Windows es ejecutado por el usuario TrustedInstaller y por eso él es el propietario de muchos de los archivos, debido a las nuevas ACL de Vista.

Instalador de confianza. En Windows Vista, la mayor parte de los archivos del sistema operativo son propiedad del SID TrustedInstaller y sólo ese SID tiene control total sobre éstos. Esto forma parte del trabajo de integridad del sistema que se realizó en Windows Vista y está específicamente destinado a impedir que un proceso que se ejecuta como administrador o Sistema Local reemplace automáticamente los archivos. Para eliminar un archivo de sistema operativo, necesita entonces tomar propiedad del archivo y agregar una ACE que le permita eliminarlo. Esto ofrece una capa delgada de protección contra un proceso que se ejecuta como Sistema local y tiene una etiqueta Integridad del sistema; un proceso que tiene integridad más baja no debe poder elevarse a sí mismo para cambiar la propiedad. Algunos servicios, por ejemplo, se pueden ejecutar con integridad media, aunque lo hagan como Sistema local. Tales servicios no pueden reemplazar archivos de sistema, de manera que si una vulnerabilidad de seguridad toma el control de alguno de ellos, no podrá reemplazar archivos de sistema operativo, lo que hace más difícil la instalación de un rootkit o de otro malware en el sistema. También a los administradores del sistema que se ofenden por la mera presencia de algún binario de sistema les resultará más difícil eliminar ese binario. Ver enlaces relacionados.

El usuario realmente se llama NT SERVICE\TrustedInstaller solo que en la interfaz gráfica no se muestra correctamente TrustedInstaller.

Si necesitamos agregarlo de nuevo, para darle permisos o hacerlo propietario del archivo, en el campo de búsqueda de usuarios tendremos que escribir NT SERVICE\TrustedInstaller ya que con solo TrustedInstaller no nos encontrara el usuario.

Si eliminamos este usuario en los permisos de un archivo o carpeta nos podemos encontrar con problemas cuando intentamos instalar alguna actualización o programas que requieran realizar cambios sobre los archivos de sistema, ya que si el usuario TrustedInstaller no tiene permisos no podrá modificar dichos archivos.





German Reyna

CEO DE REGGNETWORK.COM

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *