Llamada a procedimiento remoto (RPC)

Descripción del servicio: La llamada a procedimiento remoto es un mecanismo por el que dos procesos se pueden comunicar entre si. Este mecanismo habilita el intercambio de datos y permite solicitar funcionalidades residentes en otros procesos. Dichos procesos pueden residir en el mismo equipo, en una red local o en internet, es decir que en resumidas cuentas, este servicio permite que las aplicaciones de nuestro equipo puedan comunicarse con el sistema operativo y entre si.

 

Este servicio es vital para el sistema, tanto es así que no puede deshabilitarse ni vía comandos, ni mediante la interfaz gráfica ya que si lo deshabilitáramos el sistema quedaría inusable. Aunque es raro que este servicio se deshabilite, hay veces que podría suceder En ese caso, tendriamos que volver a habilitarlo con el siguiente comando:

enable rpcss service_auto_start

 Es posible que por una configuración defectuosa de los servicios obtengamos un mensaje (sobre todo al ejecutar un comando por la línea de comandos) del tipo “RPC server unavailable”. En este caso el error no suele deberse al propio RPC sino a otros servicios que también son necesarios para el buen funcionamiento del sistema: son Instrumental de administración de Windows y Aplicación del sistema COM+ (que deberían estar, por otra parte, iniciado y en automático, el primero; y manual el segundo).

Este servicio se hizo tristemente famoso en Windows XP. Una vulnerabilidad en el protocolo que era aprovechada por el gusano Blaster provocaba que un sistema recién instalado y sin un firewall habilitado se reiniciase una y otra vez lo cual hacia el sistema inusable.

De hecho, una de las modificaciones introducidas por el Service Pack 2 de este sistema operativo fue reducir la superficie de ataque debida al RPC. Esto se consigue introduciendo una nueva clave en el registro de Windows llamada RestrictRemoteClients, tal y como documenta Microsoft en  este artículo. También fue con el SP2 de Windows XP cuando se introdujo por primera vez el Firewall nativo de Windows que se activa por defecto durante la instalación del sistema y evita cualquier infección provocada por Blaster

Nombre en inglés: Remote Procedure Call (RPC)

Nombre de Windows: RpcSs

Archivos asociados: rpcss.dll

Ruta del ejecutable: WINDOWS\system32\svchost -k rpcss

¿Establece una conexión o escucha tras algún puerto?: Sí, tras el puerto 135 TCP.

Estado: Iniciado y en Automático tanto en Windows Vista como en Windows 7 en todas sus versiones, también es este el tipo de inicio en Windows XP en todas sus versiones.

¿Inicia en alguna cuenta?: Se ejecuta en la Cuenta de Servicio de Red (ver esto).

Depende de: En Windows XP no depende de ningún servicio. En Windows 7 y Windows Vista depende de  Asignador de Extremos RPC, Iniciador de Procesos de Servidor DCOM.

Servicios que dependen de este servicio (en Windows 7): Administración de certificados y claves de mantenimiento, Administración remota de Window (WS Management), Administrador de Credenciales, Administrador de cuentas de seguridad, Adquisición de Imágenes de Windows (WIA) Agente de Protección de acceso a redes, Aislamiento de claves CNG, Almacenamiento protegido, Aplicación del sistema COM+, Archivos sin conexión, Asignador de detección de topologías de nivel de vínculo, Audio de Windows, Centro de seguridad, Cliente de directiva de grupo, Cliente de seguimiento de vínculos distribuidos, Cola de impresión, Conexiones de red, Configuración automática de redes cableadas, Configuración automática de WLAN, Configuración automática de WWAN, Configuración de escritorio remoto, Coordinador de transacciones distribuidas de Microsoft, Copias de seguridad de Windows, Desfragmentador de disco, Detección de hardware de shell, Directiva de extracción de tarjetas inteligentes, Disco virtual, Enrutamiento y acceso remoto, Enumerador de bus IP-PnPx, Experiencia de calidad de audio y video de Windows (qWave), Fax, Host de proveedor de detección de función, Identidad de aplicación, Información de la apliación, Instalador de Active X (AxInstSv) Instantáneas de volumen, Instrumental de administración de Windows, KTMRM para DTC (Coordinador de transacciones distribuidas), Motor de Filtrado base, Parental Controls, Programador de tareas, Propagación de Certificados, Protección de Software, Protocolo de Autenticación Extensible, Proveedor de Instantáneas de Software, Públicación de Recursos de detección de función, Reconocimiento de ubicación de red, Registrador de configuración de Windows Connect Now. Registro remoto, Registros y alertas de rendimiento, Servicio biométrico de Windows, Servicio de compatibilidad de Bluetooth, Servicio de compatibilidad de programas, Servicio de entrada de Tablet PC, Servicio de lista de redes, Servicio de perfil de usuario, Servicio de transferencia inteligente en segundo plano, Servicio enumerador de dispositivos portatiles, Servicio programador de Windows Media Center, Servicio Receptor de Windows Media Cente, Servicio de Cifrado, Servicio de escritorio remoto, Servicio de cifrado de archivos (EFS), Sistema de Color de Windows, Sistema de eventos COM+, Superfetch, Telefonía, Windows defender, Windows installer, Windows Search, Windows Update.

Ubicación en el registro de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs

En el valor ImagePath (que aparece al pinchar sobre la clave anterior) debe haber %SystemRoot%\system32\svchost -k rpcss. Debe ser de tipo REG_EXPAND_SZ.

En la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters el valor ServiceDll (que aparece al pinchar sobre la subclave anterior) debe tener %SystemRoot%\system32\rpcss.dll y ser de tipo REG_EXPAND_SZ.

Archivo reg para reparar el servicio: para XP Home, pinchar aquí ; para Prof, aquí. y Para Windows 7 Prof. 

Top