Windows Lista de Eventos

Gua de Seguridad de
Windows Server 2003

Captulo 4: Directiva de lnea de base de servidores miembro
Actualizado: 27/12/05

En esta pgina
Informacin general
Directiva de lnea de base de indo!s "erver 200#
Directiva de auditora
Asignaciones de derec$os de usuario
%&ciones de seguridad
'egistro de eventos
(ntradas de registro adicionales
)ru&os restringidos
"eguridad del sistema de arc$ivos
*onfiguracin de seguridad adicional
'esumen
Informacin general
(n este ca&tulo se documentan los re+uisitos de configuracin &ara administrar una
&lantilla de seguridad de lnea de base &ara todos los servidores +ue e,ecutan
-icrosoft. indo!s "erver/ 200# con "ervice 0ac1 1 2"0134 5ambi6n se
&ro&orciona una orientacin administrativa &ara instalar 7 configurar un sistema
seguro basado en indo!s "erver 200# con "01 en tres entornos distintos4 8os
re+uisitos de configuracin de este ca&tulo constitu7en la lnea de base &ara todos
los &rocedimientos descritos en los ca&tulos &osteriores de esta gua4 (stos ca&tulos
describen cmo reforzar la seguridad de funciones es&ecficas de servidor4
8as recomendaciones de configuracin de este ca&tulo &ermitir9n instaurar seguridad
en la base de los servidores de a&licaciones em&resariales de un entorno de em&resa4
"in embargo: es necesario &robar e;$austivamente la interaccin de estas
configuraciones de seguridad con las a&licaciones em&resariales de su organizacin
antes de im&lementarlas en los entornos de &roduccin4
8as recomendaciones de este ca&tulo son adecuadas &ara la ma7ora de las
organizaciones 7 se &ueden im&lementar en e+ui&os nuevos o e;istentes +ue
e,ecuten indo!s "erver 200# con "014 (l e+ui&o +ue $a elaborado esta gua $a
investigado: revisado 7 &robado las configuraciones de seguridad &redeterminadas
dentro de indo!s "erver 200# con "014 0ara obtener informacin acerca de todas
las configuraciones &redeterminadas 7 una e;&licacin detallada sobre las +ue se
describen en este ca&tulo: consulte la gua com&lementaria Amenazas y
Page 1 of 107 Captulo 4: Directiva de lnea de base de servidores miembro
21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx
contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP
1
:
+ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515>
1
4
?ormalmente: la ma7ora de las siguientes recomendaciones de configuracin ofrecen
una ma7or seguridad +ue las configuraciones &redeterminadas4
8as configuraciones de seguridad +ue se analizan en este ca&tulo est9n relacionadas
con los tres entornos siguientes:
Cliente heredado (LC). (ste entorno inclu7e e+ui&os +ue e,ecutan
indo!s ?5. @40 7 -icrosoft indo!s. >A: a los +ue a veces se les denomina
sistemas o&erativos heredados4 Aun+ue este entorno &ro&orciona una seguridad
adecuada: es el menos seguro de los tres +ue se definen en esta gua4 0ara
contar con una ma7or seguridad: las organizaciones &ueden decidir migrar al
entorno *liente de em&resa: +ue es m9s seguro4 Adem9s de los sistemas
o&erativos $eredados a los +ue se $a $ec$o referencia: el entorno 8* inclu7e
estaciones de traba,o con indo!s 2000 0rofessional 7 indo!s B0
0rofessional4 (ste entorno slo contiene controladores de dominio con
indo!s 2000 o indo!s "erver 200#4 ?o e;isten controladores de dominio
con indo!s ?5 @40 en este entorno: &ero es &osible +ue e;istan servidores
miembro con indo!s ?54
Cliente de empresa (EC)4 (ste entorno &ro&orciona una seguridad slida 7
est9 diseCado &ara las versiones m9s recientes del sistema o&erativo indo!s4
Inclu7e e+ui&os cliente +ue e,ecutan indo!s 2000 0rofessional 7 indo!s B0
0rofessional4 8a ma7ora del traba,o +ue es necesario realizar &ara migrar del
entorno 8* al entorno (* est9 relacionado con las actualizaciones de los clientes
$eredadosD &or e,em&lo: de indo!s >A 7 indo!s ?5 @40 or1station a
indo!s 2000 o indo!s B04 5odos los controladores de dominio 7 servidores
miembro de este entorno e,ecutan indo!s 2000 "erver o
indo!s "erver 200#4
Seguridad especializada: Funcionalidad limitada (SSLF)4 (ste entorno
ofrece una seguridad m9s slida +ue el entorno (*4 8a migracin del entorno (*
al entorno ""8E re+uiere el cum&limiento de estrictas directivas de seguridad en
los e+ui&os cliente 7 en los servidores4 (ste entorno inclu7e e+ui&os cliente +ue
e,ecutan indo!s 2000 0rofessional 7 indo!s B0 0rofessional: as como
controladores de dominio con indo!s 2000 "erver o indo!s "erver 200#4 (n
el entorno ""8E: la &reocu&acin &or la seguridad es tan im&ortante +ue se
considera ace&table una &6rdida significativa de funcionalidad 7 de ca&acidad de
administracin de los clientes a cambio de lograr el m9;imo nivel de seguridad4
8os servidores miembro de este entorno e,ecutan indo!s 2000 "erver o
indo!s "erver 200#4
Advertir9 +ue en muc$os casos el entorno ""8E establece de forma e;&lcita el valor
&redeterminado4 Debe tener en cuenta +ue esta configuracin afectar9 a la
com&atibilidad: 7a +ue es &osible +ue se &roduzcan errores en las a&licaciones +ue
intenten a,ustar localmente algunos valores de configuracin4 0or e,em&lo: algunas
a&licaciones necesitan a,ustar las asignaciones de derec$os de usuario &ara conceder
&rivilegios adicionales a las cuentas de servicios4 *omo las directivas de gru&o tienen
&rioridad sobre la directiva del e+ui&o local: se &ueden generar errores en estas
o&eraciones4 Antes de im&lementar las configuraciones recomendadas en los e+ui&os
de &roduccin: es&ecialmente las relativas al entorno ""8E: debe &robar
minuciosamente todas las a&licaciones4
8a figura siguiente muestra los tres entornos de seguridad 7 los clientes com&atibles
en cada uno de ellos4
2

Figura 4.1 Entornos de seguridad existentes planeados

8as organizaciones +ue deseen garantizar la seguridad de sus entornos mediante un
enfo+ue &or fases &ueden o&tar &or em&ezar &or el nivel del entorno *liente
$eredado 7 des&u6s ir migrando gradualmente a entornos m9s seguros a medida +ue
va7an actualizando 7 &robando las a&licaciones 7 los e+ui&os cliente con
configuraciones de seguridad m9s estrictas4
8a siguiente figura muestra cmo las &lantillas de seguridad del arc$ivo 4inf se
utilizan como base &ara la directiva de lnea de base de servidores miembro 2-"F03
del entorno *liente de em&resa4 (n la figura tambi6n se indica una manera &osible de
vincular 7 a&licar esta directiva a todos los servidores de una organizacin4
indo!s "erver 200# con "01 se &ro&orciona con los valores &redeterminados &ara
crear un entorno seguro4 (n muc$os casos: en este ca&tulo se recomiendan
configuraciones +ue difieren de los valores &redeterminados4 (n el ca&tulo tambi6n
se a&lican valores &redeterminados es&ecficos &ara los tres entornos4 0ara obtener
m9s informacin acerca de todas las configuraciones &redeterminadas: consulte la
gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en
Windows Server 2003 y Windows XP
1
: +ue est9 dis&onible en
$tt&://go4microsoft4com/f!lin1/<8in1Id=1515>4
#

Figura 4.! La plantilla de seguridad EC"#em$er Ser%er &aseline.in' se
importa en la directi%a #S&() *ue se %incula a continuaci+n a la unidad
organizati%a (,-) Ser%idores miem$ro

(n el resto de los ca&tulos de la gua se definen los &rocedimientos &ara reforzar la
seguridad de funciones es&ecficas de servidor4 8as &rinci&ales funciones de servidor
+ue se describen en esta gua son las siguientes:
*ontroladores de dominio +ue inclu7en servicios D?"
"ervidores de infraestructura +ue inclu7en servicios I?" 7 DG*0
"ervidores de arc$ivos
"ervidores de im&resin
"ervidores !eb +ue e,ecutan "ervicios de Internet Information "erver 2II"3
"ervidores de autenticacin de Internet de -icrosoft 2IA"3
"ervidores de "ervicios de *ertificate "erver 2*A3
Gosts de baluarte
-uc$as de las siguientes configuraciones +ue a&arecen en la directiva -"F0 del
entorno *liente de em&resa se a&lican tambi6n a estas funciones de servidor en los
tres entornos definidos en esta gua4 8as &lantillas de seguridad est9n diseCadas de
manera Hnica &ara satisfacer las necesidades de cada entorno &articular4 (n la
siguiente tabla se muestran los nombres de las &lantillas de seguridad de lnea de
base &ara los tres entornos4
.a$la 4.1 (lantillas de seguridad de l/nea de $ase para los tres entornos
Cliente heredado Cliente de empresa
Seguridad especializada:
Funcionalidad limitada
8*I-ember "erver
Faseline4inf
(*I-ember "erver
Faseline4inf
""8EI-ember "erver Faseline4inf

(n el resto del ca&tulo se describen las configuraciones de seguridad +ue son
comunes a los tres entornos 7: &or tanto: todas las &lantillas de seguridad de l/nea
de $ase de ser%idores miem$ro4
8as &lantillas de seguridad de lnea de base constitu7en tambi6n la base &ara las
&lantillas de seguridad de controladores de dominio +ue se definen en el ca&tulo 5:
JDirectiva de lnea de base de controladores de dominioJ4 8as &lantillas de seguridad
de la 'unci+n de controladores de dominio inclu7en la configuracin de lnea de
base del )0% Directiva de gru&o de controladores de dominio: +ue est9 vinculado a la
K% *ontroladores de dominio en los tres entornos4 (n el ca&tulo 2: J-ecanismos de
seguridad de indo!s "erver 200#J: se &ro&orcionan instrucciones &aso a &aso &ara
crear las K% 7 las directivas de gru&o 7: a continuacin: im&ortar la &lantilla de
seguridad adecuada en cada )0%4
0ota: algunos de los &rocedimientos utilizados &ara reforzar la seguridad de los
servidores no se &ueden automatizar mediante la directiva de gru&o4 (stos
&rocedimientos se describen en la seccin J*onfiguracin de seguridad adicionalJ de
este ca&tulo4
0rinci&io de la &9gina
Directiva de lnea de base de Windows Server 200
8a configuracin en el nivel de la K% "ervidor miembro define los valores comunes a
todas funciones de servidores miembro +ue se tratan en esta gua4 0ara a&licar esta
configuracin: &uede crear un ob,eto )0% +ue est6 vinculado a la K% "ervidor
miembro: a la +ue se le conoce como una directiva de lnea de base4 (l )0%
automatizar9 la configuracin de los valores de seguridad es&ecficos en cada
servidor4 Deber9 mover las cuentas de servidor a las K% secundarias
corres&ondientes de la K% "ervidor miembro segHn la funcin de cada servidor4
8as siguientes configuraciones se describen segHn el orden en +ue a&arecen en la
interfaz de usuario 2KI3 del com&lemento (ditor de configuracin de seguridad 2"*(3
de -icrosoft -anagement *onsole 2--*34
Directiva de auditora
8os administradores deben crear una directiva de auditora +ue defina los eventos
+ue se identificar9n 7 +ue registre las actividades de los usuarios o e+ui&os en las
categoras de eventos es&ecificadas4 Asimismo: &ueden controlar la actividad
relacionada con la seguridad como: &or e,em&lo: los usuarios +ue tienen acceso a un
ob,eto: si un usuario inicia o cierra sesin en un e+ui&o o si se realizan cambios en
una configuracin de la directiva de auditora4
Antes de im&lementar una directiva de auditora: debe decidir las categoras de
eventos +ue se van a auditar &ara el entorno4 8a configuracin de auditora
seleccionada &or un administrador &ara las categoras de eventos definir9 la directiva
de auditora de la organizacin4 Al definir la configuracin de auditora &ara las
categoras de eventos es&ecficas: los administradores &ueden crear una directiva de
auditora +ue se a,uste a las necesidades de seguridad de la organizacin4
"i no e;iste ninguna directiva de auditora: ser9 com&licado o im&osible determinar lo
+ue sucedi durante un incidente de seguridad4 ?o obstante: si la configuracin de
auditora se establece de modo +ue demasiadas actividades autorizadas generen
eventos: el registro de seguridad se llenar9 de datos &oco Htiles4 (l ob,etivo de las
siguientes recomendaciones 7 descri&ciones de configuracin es a7udarle a
determinar lo +ue se va a su&ervisar &ara +ue los datos reco&ilados sean relevantes4
A menudo: los registros de errores son muc$o m9s informativos +ue los registros de
aciertos: 7a +ue los errores suelen indicar &roblemas4 0or e,em&lo: el inicio de sesin
correcto en un e+ui&o &or &arte de un usuario se considerara normal4 "in embargo:
si alguien intenta iniciar sesin en un e+ui&o varias veces 7 no lo consigue: esto
&uede indicar un intento de obtener acceso al e+ui&o con las credenciales de la
cuenta de otro usuario4 8os registros de eventos registran los eventos del e+ui&o4 (n
los sistemas o&erativos -icrosoft indo!s: $a7 registros de eventos inde&endientes
&ara las a&licaciones: las eventos de seguridad 7 los eventos de sistema4 (l registro
de seguridad registra eventos de auditora4 (l contenedor del registro de eventos de
la directiva de gru&o se utiliza &ara definir los atributos relacionados con los registros
de eventos de a&licacin: seguridad 7 sistemaD &or e,em&lo: el tamaCo m9;imo del
registro: los derec$os de acceso &ara cada registro: 7 la configuracin 7 los m6todos
de retencin4
Antes de im&lementar una directiva de auditora: las organizaciones deben
determinar cmo reco&ilar9n: organizar9n 7 analizar9n los datos4 8os volHmenes
grandes de datos de auditora no tienen muc$o valor si no $a7 un &lan &ara
a&rovec$arlos4 Adem9s: el rendimiento se &uede ver afectado cuando se auditan
redes de e+ui&os4 8a re&ercusin de una determinada combinacin de valores de
configuracin &uede ser insignificante en el e+ui&o de un usuario final: &ero mu7
notable en un servidor con muc$a actividad4 0or lo tanto: debe &robar si el
rendimiento se ver9 afectado antes de im&lementar la nueva configuracin de
auditora en el entorno de &roduccin4
8a tabla siguiente inclu7e recomendaciones de configuracin de la directiva de
auditora &ara los tres entornos definidos en esta gua4 (s &osible +ue observe +ue la
configuracin de la ma7ora de los valores es similar en los tres entornos4 8a
informacin adicional de cada configuracin se &ro&orciona en las subsecciones +ue
se muestran des&u6s de la tabla4
0uede configurar los valores de configuracin de la directiva de auditora en
indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de
directiva de gru&o:
Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de
seguridad14irecti%as locales
14irecti%a de auditor/a
0ara obtener un resumen de la configuracin recomendada en esta seccin: consulte
el libro de -icrosoft (;cel. Jindo!s "erver 200# "ecurit7 )uide "ettingsJ +ue se
inclu7e con la versin descargable de esta gua4 0ara obtener m9s informacin acerca
de la configuracin &redeterminada 7 una e;&licacin detallada de las configuraciones
descritas en esta seccin: consulte la gua com&lementaria: Amenazas y
1
:
1
4
.a$la 4.! Con'iguraciones de la directi%a de auditor/a
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Auditar eventos de inicio
de sesin de cuenta
*orrecto *orrecto *orrecto: (rrneo
Auditar la administracin
de cuentas
Auditar eventos de inicio
de sesin
Auditar el acceso a
ob,etos
"in auditora "in auditora (rrneo
Auditar el cambio de
directivas
*orrecto *orrecto *orrecto
Auditar el uso de
&rivilegios
"in auditora "in auditora (rrneo
Auditar el seguimiento de
&rocesos
"in auditora "in auditora "in auditora
Auditar eventos del
sistema
*orrecto *orrecto *orrecto

Auditar eventos de inicio de sesin de cuenta
(sta configuracin de directiva determina si se deben auditar los inicios o cierres de
sesin de un usuario desde otro e+ui&o +ue valide la cuenta4 *uando una cuenta de
usuario de dominio se autentica en un controlador de dominio: se genera 7 se
registra un evento de inicio de sesin de cuenta en el registro de seguridad del
controlador de dominio4 *uando un usuario local se autentica en un e+ui&o local: se
genera 7 se registra un evento de inicio de sesin en el registro de seguridad local4
8os eventos de cierre de sesin de cuenta no se registran nunca4
5uditar e%entos de inicio de sesi+n de cuenta se configura &ara registrar los
valores Correcto &ara las directivas de lnea de base de los entornos 8* 7 (*: 7 &ara
registrar los eventos de ti&o Correcto 7 Err+neo &ara la directiva de lnea de base
del entorno ""8E4
8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta
configuracin de directiva registra en el registro de seguridad4 (stos Id4 de evento
&ueden ser Htiles si desean crear alertas &ersonalizadas &ara su&ervisar un con,unto
de &rogramas de soft!are: como -icrosoft %&erations -anager 2-%-34
.a$la 4.6 E%entos de inicio de sesi+n de cuenta
7d. de
e%ento
4escripci+n del e%ento
L72
"e $a emitido 7 validado con 6;ito un vale del servicio de autenticacin
2A"34 (n indo!s "erver 200# con "01: este evento ser9 de ti&o Auditora
de aciertos &ara las solicitudes correctas o de ti&o Auditora de errores &ara
las solicitudes con errores4
L7#
"e $a otorgado un vale del servicio de otorgamiento de vales 25)"34 Kn
5)" es un vale emitido &or el servicio 5)" de Merberos versin 5 +ue
&ermite a un usuario autenticarse en un servicio es&ecfico del dominio4
indo!s "erver 200# con "01 registrar9 los aciertos 7 errores de este ti&o
de evento4
L7@ Kna entidad &rinci&al de seguridad $a renovado un vale A" o 5)"4
L75
(rror en la autenticacin &revia4 (ste evento se genera en un *entro de
distribucin de claves 2MD*3 cuando un usuario escribe una contraseCa
incorrecta4
L7L
(rror de la &eticin del vale de autenticacin4 indo!s "erver 200# con
"01 no genera este evento4 (ste evento se utiliza en otras versiones de
indo!s &ara indicar un error en la autenticacin +ue no se debe al uso de
credenciales incorrectas4
L77
?o se $a otorgado un vale 5)"4 indo!s "erver 200# con "01 no genera
este evento4 0ara este caso: indo!s "erver 200# con "01 utiliza un
evento de ti&o Auditora de errores con el Id4 L724
L7A "e $a asignado con 6;ito una cuenta a una cuenta de dominio4
LA1
(rror de inicio de sesin4 "e $a intentado un inicio de sesin de cuenta de
dominio4 (ste evento slo lo generan los controladores de dominio4
LA2
Kn usuario se $a vuelto a conectar a una sesin de "ervicios de 5erminal
"erver desconectada4
LA#
Kn usuario $a desconectado una sesin de "ervicios de 5erminal "erver:
&ero no la $a cerrado4

Auditar la administracin de cuentas
(sta configuracin de directiva determina si se deben auditar todos los eventos de
administracin de cuentas de un e+ui&o4 Algunos e,em&los de eventos de
administracin de cuentas:
"e crea: cambia o elimina una cuenta de usuario o gru&o4
*ambia el nombre de una cuenta de usuario: o bien: se desactiva o se activa
una4
"e establece o cambia una contraseCa4
8as organizaciones deben ser ca&aces de determinar +ui6n crea: modifica o elimina
tanto las cuentas locales como las de dominio4 8os cambios no autorizados &odran
indicar cambios errneos realizados &or un administrador +ue no com&rende cmo
seguir las directivas de la organizacin: &ero tambi6n un ata+ue deliberado4
0or e,em&lo: los eventos de error de administracin de cuentas suelen indicar
intentos &or &arte de un administrador de nivel inferior 2o de un atacante +ue $a
com&rometido la cuenta de un administrador de nivel inferior3 de elevar sus
&rivilegios4 8os registros &ueden ser Htiles &ara determinar las cuentas +ue un
atacante $a modificado 7 creado4
5uditar la administraci+n de cuentas se configura &ara registrar los valores
Correcto &ara las directivas de lnea de base de los entornos 8* 7 (*: 7 &ara
registrar los valores de ti&o Correcto 7 Err+neo &ara la directiva de lnea de base
del entorno ""8E4
configuracin de directiva registra en el registro de seguridad4 (stos Id4 de evento
&ueden ser Htiles cuando se desean crear alertas &ersonalizadas &ara su&ervisar un
con,unto de &rogramas de soft!are: como -%-4 8a ma7ora del soft!are de
administracin de o&eraciones se &uede &ersonalizar con secuencias de comandos
&ara ca&turar o marcar eventos +ue se basan en estos Id4 de evento4
.a$la 4.4 E%entos de administraci+n de cuentas
7d. de
e%ento
L2@ "e $a creado una cuenta de usuario4
L27 "e $a modificado una contraseCa de usuario4
L2A "e $a configurado una contraseCa de usuario4
L#0 "e $a eliminado una cuenta de usuario4
L#1 "e $a creado un gru&o global4
L#2 "e $a agregado un miembro a un gru&o global4
L## "e $a +uitado un miembro de un gru&o global4
L#@ "e $a eliminado un gru&o global4
L#5 "e $a creado un nuevo gru&o local4
L#L "e $a agregado un miembro a un gru&o local4
L#7 "e $a +uitado un miembro de un gru&o local4
L#A "e $a eliminado un gru&o local4
L#> "e $a modificado una cuenta de gru&o local4
L@1 "e $a modificado una cuenta de gru&o global4
L@2 "e $a modificado una cuenta de usuario4
L@# "e $a modificado una directiva de dominio4
L@@ "e $a blo+ueado autom9ticamente una cuenta de usuario4
L@5 "e $a creado una cuenta de e+ui&o4
L@L "e $a modificado una cuenta de e+ui&o4
L@7 "e $a eliminado una cuenta de e+ui&o4
L@A
"e $a creado un gru&o de seguridad local con la seguridad des$abilitada4
0ota: "(*K'I5NODI"AF8(D formalmente significa +ue este gru&o no
&uede usarse &ara conceder &ermisos en las com&robaciones de acceso4
L@>
"e $a modificado un gru&o de seguridad local con la seguridad
des$abilitada4
L50
"e $a agregado un miembro a un gru&o de seguridad local con la seguridad
des$abilitada4
L51
"e $a +uitado un miembro de un gru&o de seguridad local con la seguridad
des$abilitada4
L52 "e $a eliminado un gru&o local con la seguridad des$abilitada4
L5# "e $a creado un gru&o global con la seguridad des$abilitada4
L5@ "e $a modificado un gru&o global con la seguridad des$abilitada4
L55
"e $a agregado un miembro a un gru&o global con la seguridad
des$abilitada4
L5L
"e $a +uitado un miembro de un gru&o global con la seguridad
des$abilitada4
L57 "e $a creado un gru&o global con la seguridad des$abilitada4
L5A "e $a creado un gru&o universal con la seguridad $abilitada4
L5> "e $a modificado un gru&o universal con la seguridad $abilitada4
LL0
"e $a agregado un miembro a un gru&o universal con la seguridad
$abilitada4
LL1
"e $a +uitado un miembro de un gru&o universal con la seguridad
$abilitada4
LL2 "e $a eliminado un gru&o universal con la seguridad $abilitada4
LL# "e $a creado un gru&o universal con la seguridad des$abilitada4
LL@ "e $a modificado un gru&o universal con la seguridad des$abilitada4
LL5
"e $a agregado un miembro a un gru&o universal con la seguridad
des$abilitada4
LLL
"e $a +uitado un miembro de un gru&o universal con la seguridad
des$abilitada4
LL7 "e $a eliminado un gru&o universal con la seguridad des$abilitada4
LLA "e $a modificado un ti&o de gru&o4
LA@
"e $a establecido el descri&tor de seguridad de los miembros del gru&o
administrativo4
0ota: en un controlador de dominio: cada L0 minutos: un sub&roceso en
segundo &lano busca todos los miembros de los gru&os administrativos
2como los administradores de dominio: em&resariales 7 del es+uema3 7 les
a&lica un descri&tor fi,o de seguridad4 (ste evento +ueda registrado4
LA5 "e $a modificado el nombre de una cuenta4

Auditar eventos de inicio de sesin
(sta configuracin de directiva determina si se debe auditar cada inicio 7 cierre de
sesin de usuario en un e+ui&o4 5uditar e%entos de inicio de sesi+n genera
registros en los controladores de dominio 7 en los e+ui&os locales &ara su&ervisar la
actividad de las cuentas de dominio 7 de las cuentas locales: res&ectivamente4
"i se configura 5uditar e%entos de inicio de sesi+n como Sin auditor/a: ser9
difcil o im&osible determinar +u6 usuario $a iniciado o intentado iniciar una sesin en
los e+ui&os de la organizacin4 "i se $abilita el valor Correcto &ara 5uditar e%entos
de inicio de sesi+n en un miembro de dominio: se generar9 un evento cada vez +ue
un usuario inicie sesin en la red: inde&endientemente del lugar de la red en el +ue
residan las cuentas4 "i el usuario inicia una sesin en una cuenta local 7 5uditar
e%entos de inicio de sesi+n de cuenta est9 configurado como 8a$ilitado: el inicio
de sesin del usuario generar9 dos eventos4
Aun+ue no modifi+ue los valores &redeterminados de esta configuracin de directiva:
no $abr9 dis&onible ningHn registro de auditora +ue &ueda analizar des&u6s de un
incidente de seguridad4 5uditar e%entos de inicio de sesi+n se configura &ara
registrar los valores Correcto en las directivas de lnea de base de los entornos 8* 7
(*: 7 &ara registrar los valores de ti&o Correcto 7 Err+neo &ara la directiva ""8E4
configuracin de directiva registra en el registro de seguridad4
.a$la 4.9 5uditar e%entos de inicio de sesi+n
7d. de
e%ento
52A Kn usuario $a iniciado una sesin con 6;ito en un e+ui&o4
52>
(rror de inicio de sesin4 (l intento de inicio de sesin se $a realizado con
un nombre de usuario desconocido o con un nombre de usuario conocido 7
una contraseCa incorrecta4
5#0
(rror de inicio de sesin4 (l intento de inicio de sesin se $a realizado fuera
del tiem&o &ermitido4
5#1
(rror de inicio de sesin4 "e $a intentado iniciar una sesin con una cuenta
des$abilitada4
5#2
(rror de inicio de sesin4 "e $a intentado iniciar una sesin con una cuenta
caducada4
5##
(rror de inicio de sesin4 (l usuario +ue $a intentado el inicio de sesin no
cuenta con &ermiso &ara iniciar la sesin en este e+ui&o4
5#@
(rror de inicio de sesin4 (l usuario $a intentado iniciar la sesin con un
ti&o de contraseCa no &ermitido4
5#5
(rror de inicio de sesin4 Ga caducado la contraseCa corres&ondiente a la
cuenta es&ecificada4
5#L
(rror de inicio de sesin4 (l servicio de inicio de cuenta de red no se
encuentra activo4
5#7 (rror de inicio de sesin4 (rror en el intento de inicio de sesin &or otras
razones4
0ota: en algunos casos: el motivo del error de inicio de sesin &uede ser
desconocido4
5#A Kn usuario $a cerrado la sesin4
5#>
(rror de inicio de sesin4 8a cuenta se $a blo+ueado en el momento en el
+ue se $a intentado iniciar la sesin4
5@0 Kn usuario $a iniciado la sesin correctamente en la red4
5@1
"e $a com&letado la autenticacin IM( 2Internal Me7 (;c$ange3 en modo
&rinci&al entre el e+ui&o local 7 la identidad rec&roca 2estableciendo una
asociacin de seguridad3: o el modo r9&ido $a establecido un canal de
datos4
5@2 "e $a finalizado el canal de datos4
5@#
"e $a finalizado el modo &rinci&al4
0ota: esto &uede ocurrir &or+ue $a caducado el lmite de tiem&o de la
asociacin de seguridad 2el valor &redeterminado es de oc$o $oras3: $a7
cambios en la directiva o se $a &roducido una finalizacin rec&roca4
5@@
"e $a &roducido un error en la autenticacin en modo &rinci&al &or+ue la
otra &arte no $a &ro&orcionado un certificado v9lido o no se $a validado la
firma4
5@5
"e $a &roducido un error en la autenticacin de modo &rinci&al debido a un
error del &rotocolo de autenticacin Merberos o a una contraseCa no v9lida4
5@L
"e $a &roducido un error en el establecimiento de la asociacin de
seguridad IM( &or+ue la otra &arte $a enviado una &ro&uesta no v9lida4 "e
$a recibido un &a+uete +ue contena datos no v9lidos4
5@7 (rror durante una negociacin IM(4
5@A
(rror de inicio de sesin4 (l identificador de seguridad 2"ID3 de un dominio
de confianza no coincide con el "ID del dominio de la cuenta del cliente4
5@>
(rror de inicio de sesin4 "e $an filtrado todos los "ID corres&ondientes a
los es&acios de nombres +ue no son de confianza durante una
autenticacin a trav6s de bos+ues4
550
-ensa,e de notificacin +ue &odra indicar un &osible ata+ue de negacin
de servicio 2Do"34
551 Kn usuario $a iniciado el &roceso de cierre de sesin4
552
Kn usuario $a iniciado correctamente una sesin en un e+ui&o mediante
credenciales e;&lcitas mientras todava mantena abierta una sesin como
un usuario diferente4
LA2
Kn usuario se $a conectado de nuevo a una sesin de servidor de terminal
desconectada4
LA#
Kn usuario $a desconectado una sesin de "ervicios de 5erminal "erver:
&ero no la $a cerrado4
0ota: este evento se genera cuando un usuario est9 conectado a una
sesin de "ervicios de 5erminal "erver en la red4 A&arece en el servidor de
la terminal4

Auditar el acceso a objetos
(sta configuracin de directiva no &rovocar9 &or s misma la auditora de ningHn
evento4 5uditar el acceso a o$:etos determina si se debe auditar el acceso de un
usuario a un ob,eto 2&or e,em&lo: un arc$ivo: una car&eta: una clave del 'egistro o
una im&resora3 si $a7 es&ecificada una lista de control de acceso del sistema 2"A*834
Kna lista de control de acceso del sistema se com&one de entradas de control de
acceso 2A*(3: cada una de las cuales contiene tres datos:
8a entidad de seguridad &rinci&al 2el usuario: e+ui&o o gru&o3 +ue se va a
auditar4
(l ti&o de acceso es&ecfico +ue se va a auditar: denominado m9scara de
acceso4
Kn indicador +ue seCala si se deben auditar eventos de acceso errneos:
eventos de acceso correctos o ambos4
"i se configura 5uditar el acceso a o$:etos &ara registrar los valores Correcto: se
generar9 una entrada de auditora cada vez +ue un usuario obtenga acceso a un
ob,eto con una "A*8 es&ecificada4 "i se configura &ara registrar los valores Err+neo:
se generar9 una entrada de auditora cada vez +ue un usuario intente obtener acceso
a un ob,eto con una "A*8 es&ecificada 7 no lo consiga4
Al configurar las "A*8: las organizaciones deben definir slo las acciones +ue desean
+ue se $abiliten4 0or e,em&lo: es &osible +ue desee $abilitar las configuraciones de
auditora Escri$ir datos 5nexar datos en los arc$ivos e,ecutables &ara realizar un
seguimiento del cambio o reem&lazo de dic$os arc$ivos: 7a +ue los virus
inform9ticos: gusanos 7 caballos de 5ro7a atacar9n normalmente los arc$ivos
e,ecutables4 De forma similar: &uede estar interesado en el seguimiento del acceso o
cambio de los documentos confidenciales4
5uditar el acceso a o$:etos se configura en el valor &redeterminado Sin auditor/a
en la directiva de lnea de base &ara los entornos 8* 7 (*4 "in embargo: esta
configuracin de directiva se establece &ara registrar los valores Err+neos en la
directiva de lnea de base del entorno ""8E4
.a$la 4.; E%entos de acceso a o$:etos
7d. de
e%ento
5L0 "e $a otorgado acceso a un ob,eto e;istente4
5L2 "e $a cerrado un identificador &ara un ob,eto4
5L#
"e $a intentado abrir un ob,eto con la intencin de eliminarlo4
0ota: los sistemas de arc$ivos utilizan este evento cuando se es&ecifica el
indicador EI8(OD(8(5(O%?O*8%"( en *reatefile234
5L@ "e $a eliminado un ob,eto &rotegido4
5L5 "e $a otorgado acceso a un ti&o de ob,eto e;istente4
5L7
"e $a utilizado un &ermiso asociado a un identificador4
0ota: se crea un identificador con determinados &ermisos concedidos:
como de lectura 7 escritura4 *uando se utiliza el identificador: se genera un
m9;imo de una auditora &ara cada uno de los &ermisos utilizados4
5LA "e $a intentado crear un vnculo fsico a un arc$ivo +ue se est9 auditando4
5L>
(l administrador de recursos de la a&licacin Administrador de autorizacin
$a intentado crear un conte;to cliente4
570
Kn cliente $a intentado obtener acceso a un ob,eto4
0ota: se generar9 un evento &or cada o&eracin +ue se intente realizar en
el ob,eto4
571
8a a&licacin Administrador de autorizacin $a eliminado el conte;to
cliente4
572 (l Administrador de autorizacin $a inicializado la a&licacin4
772
(l Administrador de certificados $a denegado una &eticin &endiente de
certificado4
77#
8os "ervicios de *ertificate "erver recibieron una solicitud de certificado
reenviada4
77@ 8os "ervicios de *ertificate "erver revocaron un certificado4
775
8os "ervicios de *ertificate "erver recibieron una solicitud de &ublicacin
de la lista de revocacin de certificados 2*'834
77L 8os "ervicios de *ertificate "erver $an &ublicado la *'84
777 "e $a realizado una e;tensin de &eticin de certificado4
77A *ambio en uno o m9s de los atributos de solicitudes de certificados4
77> 8os "ervicios de *ertificate "erver recibieron una solicitud de cierre4
7A0 "e inici la co&ia de seguridad de "ervicios de *ertificate "erver4
7A1 "e com&let la co&ia de seguridad de "ervicios de *ertificate "erver4
7A2 "e inici la restauracin de "ervicios de *ertificate "erver4
7A# "e com&let la restauracin de "ervicios de *ertificate "erver4
7A@ "e iniciaron los "ervicios de *ertificate "erver4
7A5 "e detuvieron los "ervicios de *ertificate "erver
7AL *ambio en los &ermisos de seguridad de "ervicios de *ertificate "erver4
7A7 8os "ervicios de *ertificate "erver recu&eraron una clave arc$ivada4
7AA
8os "ervicios de *ertificate "erver im&ortaron un certificado a su
corres&ondiente base de datos4
7A> *ambio en el filtro de auditora de "ervicios de *ertificate "erver4
7>0 8os "ervicios de *ertificate "erver recibieron una solicitud de certificado4
7>1
8os "ervicios de *ertificate "erver a&robaron una solicitud de certificado 7
emitieron un certificado4
7>2 8os "ervicios de *ertificate "erver denegaron una solicitud de certificado4
7>#
8os "ervicios de *ertificate "erver $an establecido el estado de una
solicitud de certificado en 0endiente4
7>@
*ambio en la configuracin del administrador de certificados
corres&ondiente a "ervicios de *ertificate "erver4
7>5 *ambio en una entrada de configuracin de "ervicios de *ertificate "erver4
7>L "e $a modificado una &ro&iedad de los "ervicios de *ertificate "erver4
7>7 8os "ervicios de *ertificate "erver arc$ivaron una clave4
7>A 8os "ervicios de *ertificate "erver im&ortaron 7 arc$ivaron una clave4
7>>
8os "ervicios de *ertificate "erver &ublicaron el certificado de la entidad de
certificacin 2*A3 en Active Director74
A00 "e $an eliminado una o varias filas de la base de datos de certificados4
A01 "e&aracin de funciones activada4

Auditar el cambio de directivas
(sta configuracin de directiva determina si se debe auditar cada caso en +ue se
&roduzca un cambio en las directivas de asignacin de derec$os de usuario: auditora
o confianza4
"i se configura 5uditar el cam$io de directi%as &ara registrar los valores
Correcto: se generar9 una entrada de auditora &ara cada cambio +ue se realice en
las directivas de asignacin de derec$os de usuario: auditora o confianza4 "i se
configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora
con cada intento de cambiar las directivas de asignacin de derec$os de usuario:
auditora o confianza +ue no se consiga4
8a configuracin recomendada le &ermitir9 ver los &rivilegios de cuenta +ue un
atacante intente elevarD &or e,em&lo: si intenta agregar el &rivilegio 4epurar
programas o <ealizar copias de seguridad de archi%os directorios4
5uditar el cam$io de directi%as se configura &ara registrar los valores Correcto
en la directiva de lnea de base &ara los tres entornos definidos en esta gua4
Actualmente: el valor de configuracin Err+neo no ca&tura eventos relevantes4
.a$la 4.= E%entos de 5uditar el cam$io de directi%as
7d. de
e%ento
L0A "e $a asignado un derec$o de usuario4
L0> "e $a +uitado un derec$o de usuario4
L10 "e $a creado una relacin de confianza con otro dominio4
L11 "e $a +uitado una relacin de confianza con otro dominio4
L12 "e $a modificado una directiva de auditora4
L1#
"e $a iniciado un agente de directiva I0"ec 2&rotocolo de seguridad de
Internet34
L1@ "e $a des$abilitado un agente de directiva I0"ec4
L15 Kn agente de directiva I0"ec $a cambiado4
L1L Kn agente de directiva I0"ec $a detectado un error &otencialmente grave4
L17 Kna directiva de Merberos versin 5 $a cambiado4
L1A Kna directiva de recu&eracin de datos cifrados $a cambiado4
L20 "e $a modificado una relacin de confianza con otro dominio4
L21 "e $a otorgado a una cuenta acceso al sistema4
L22 "e $a +uitado el acceso al sistema desde una cuenta4
L2#
8a directiva de auditora se $a establecido de forma individual &ara cada
usuario4
L25
8a directiva de auditora se $a actualizado de forma individual &ara cada
usuario4
7LA
"e $a detectado una colisin entre un elemento de es&acio de nombres de
un bos+ue 7 un elemento de es&acio de nombres de otro bos+ue4
0ota: cuando un elemento de es&acio de nombres de un bos+ue se
su&er&one a un elemento de otro bos+ue: se &uede &roducir ambigPedad en
la resolucin de nombres de los elementos de es&acio de nombres4 (sta
coincidencia tambi6n se conoce como colisin4 ?o todos los &ar9metros son
v9lidos &ara todos los ti&os de entrada4 0or e,em&lo: los cam&os como el
nombre D?": el nombre ?etFI%" 7 el "ID no son v9lidos &ara una entrada
del ti&o Q5o&8evel?ameQ4
7L>
"e $a agregado informacin de confianza del bos+ue4
0ota: este mensa,e de evento se genera cuando la informacin de
confianza del bos+ue se actualiza 7 se agregan una o varias entradas4 "e
genera un mensa,e de evento &or cada entrada agregada: eliminada o
modificada4 "i se agregan: eliminan o modifican varias entradas en una
actualizacin individual de la informacin de confianza del bos+ue: se asigna
a todos los mensa,es de evento generados un identificador Hnico e;clusivo
denominado Id4 de o&eracin4 (sta funcionalidad le &ermite saber +ue los
diversos mensa,es de evento generados son el resultado de una sola
o&eracin4 ?o todos los &ar9metros son v9lidos &ara todos los ti&os de
entrada4 0or e,em&lo: los &ar9metros como el nombre D?": el nombre
?etFI%" 7 el "ID no son v9lidos &ara una entrada del ti&o J5o&8evel?ameJ4
770
"e $a eliminado informacin de confianza del bos+ue4
0ota: consulte la descri&cin del evento 7L>4
771
"e $a modificado informacin de confianza del bos+ue4
0ota: consulte la descri&cin del evento 7L>4
A05
(l servicio de registro de eventos $a ledo la configuracin del registro de
seguridad de una sesin4

Auditar el uso de privilegios
(sta configuracin de directiva determina si se debe auditar cada caso en el +ue un
usuario e,ecute un derec$o de usuario4 "i se configura 5uditar el uso de
pri%ilegios &ara registrar los valores Correcto: se generar9 una entrada de auditora
cada vez +ue un usuario e,erza correctamente un derec$o de usuario4 "i se configura
&ara registrar los valores Err+neo: se generar9 una entrada de auditora cada vez
+ue no se consiga e,ercer un derec$o de usuario4
Aun+ue se configure 5uditar el uso de pri%ilegios: no se generar9n auditoras
cuando se e,erzan los siguientes derec$os de usuario: 7a +ue estos derec$os generan
muc$os eventos en el registro de seguridad4 (l rendimiento de los e+ui&os
&robablemente se ver9 afectado si se auditan estos derec$os de usuario:
%mitir la com&robacin de recorrido
De&urar &rogramas
*rear un ob,eto 5o1en
'eem&lazar un to1en de nivel de &roceso
)enerar auditoras de seguridad
'ealizar co&ias de seguridad de arc$ivos 7 directorios
'estaurar arc$ivos 7 directorios
0ota: si desea auditar estos derec$os de usuario: debe $abilitar la o&cin de
seguridad 5uditor/a: auditar el uso del pri%ilegio de copia de seguridad
restauraci+n en la directiva de gru&o4
5uditar el uso de pri%ilegios se encuentra a la iz+uierda del valor &redeterminado
Sin auditor/a de la directiva de lnea de base de los entornos 8* 7 (*4 "in embargo:
esta configuracin de directiva se establece &ara registrar los valores Err+neos en la
directiva de lnea de base del entorno ""8E4 (l uso con errores de un derec$o de
usuario es un indicador de un &roblema de red general 7: frecuentemente: &uede
seCalar un intento de infraccin de seguridad4 8as organizaciones deben configurar
5uditar el uso de pri%ilegios en 8a$ilitar slo si $a7 un motivo em&resarial
es&ecfico +ue lo ,ustifi+ue4
configuracin registra en el registro de seguridad4
.a$la 4.> E%entos de uso de pri%ilegios
7d. de
e%ento
57L
"e $an agregado los &rivilegios es&ecificados al testigo de acceso de
un usuario4
0ota: este evento se genera cuando el usuario inicia sesin4
577
Kn usuario $a intentado realizar una o&eracin &rivilegiada de servicio
del sistema4
57A
"e $an utilizado &rivilegios en un identificador 7a abierto de un ob,eto
&rotegido4
Auditar el seguimiento de procesos
(sta configuracin de directiva determina si se debe auditar informacin de
seguimiento detallada de eventos como la activacin de &rogramas: la salida de
&rocesos: la du&licacin de identificadores 7 el acceso indirecto a ob,etos4 "i se
configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora
cada vez +ue se consiga realizar un seguimiento del &roceso4 "i se configura &ara
registrar los valores Err+neo: se generar9 una entrada de auditora cada vez +ue no
se consiga realizar un seguimiento del &roceso4
5uditar el seguimiento de procesos genera un elevado nHmero de eventosD &or
ello: se configura normalmente en Sin auditor/a: 7a +ue est9 en la directiva de lnea
de base de los tres entornos definidos en esta gua4 "in embargo: esta configuracin
de directiva &uede ser mu7 Htil durante la res&uesta a un incidente &or+ue
&ro&orciona un registro detallado de los &rocesos +ue se iniciaron 7 del momento de
inicio de cada uno de ellos4
configuracin registra en el registro de seguridad4
.a$la 4.? E%entos de seguimiento de procesos
7d. de
e%ento
5>2 "e $a creado un nuevo &roceso4
5># "e $a salido de un &roceso4
5>@ "e $a du&licado un identificador &ara un ob,eto4
5>5 "e $a obtenido acceso indirecto a un ob,eto4
5>L
"e $a realizado una co&ia de seguridad de una clave de sesin de
&roteccin de datos4
0ota: las rutinas *r7&t0rotectData 7 *r7&tKn&rotectData 7 el sistema de
cifrado de arc$ivos 2(E"3 utilizan la clave de sesin de &roteccin4 "e
realiza una co&ia de seguridad de la clave de sesin de &roteccin cada vez
+ue se crea una nueva 2la configuracin &redeterminada es de >0 das34
)eneralmente: es un controlador de dominio el +ue realiza la co&ia de la
clave4
5>7
"e $a recu&erado una clave de sesin de &roteccin de datos desde un
servidor de recu&eracin4
5>A "e $an &rotegido los datos auditables4
5>> "e $an des&rotegido los datos auditables4
L00 "e $a asignado un testigo &rinci&al a un &roceso4
L01 Kn usuario $a intentado instalar un servicio4
L02 "e $a creado una tarea del &rogramador4

Auditar eventos del sistema
(sta configuracin de directiva determina si se debe auditar el reinicio o cierre de un
e+ui&o realizado &or un usuario o si se &roduce un evento +ue afecta a la seguridad
del e+ui&o o al registro de seguridad4 "i se configura &ara registrar los valores
Correcto: se generar9 una entrada de auditora cuando se e,ecute correctamente un
evento del sistema4 "i se configura &ara registrar los valores Err+neo: se generar9
una entrada de auditora cuando se intente e,ecutar un evento del sistema sin
conseguirlo4
8a tabla siguiente inclu7e los eventos de ti&o *orrecto m9s Htiles &ara esta
configuracin4
.a$la 4.1@ #ensa:es de e%entos del sistema para 5uditar e%entos del
sistema
7d. de
e%ento
512 "e est9 iniciando indo!s4
51# "e est9 a&agando indo!s4
51@ 8a autoridad de seguridad local $a cargado un &a+uete de autenticacin4
515
"e $a registrado un &roceso de inicio de sesin confiable en la autoridad
de seguridad local4
51L
"e $an agotado los recursos internos asignados &ara &oner en cola de
es&era los mensa,es de eventos de seguridad: lo cual &roduce la &6rdida
de algunos mensa,es de eventos de seguridad4
517 "e $a lim&iado el registro de auditora4
51A
(l administrador de cuentas de seguridad $a cargado un &a+uete de
notificacin4
51>
Kn &roceso utiliza un &uerto 80* 2llamada a &rocedimiento local3 no v9lido
&ara $acerse &asar &or un cliente 7 res&onder: leer o escribir en un
es&acio de direccin de cliente4
520
"e $a modificado la $ora del sistema4
0ota: esta auditora a&arece normalmente dos veces4
!signaciones de derec"os de usuario
8as asignaciones de derec$os de usuario &ro&orcionan a los usuarios 7 gru&os
derec$os o &rivilegios de inicio de sesin en los e+ui&os de la organizacin4 Kn
e,em&lo de derec$o de inicio de sesin es el derec$o de iniciar sesin en un e+ui&o
de forma interactiva4 Kn e,em&lo de &rivilegio consistira en el derec$o de a&agar el
sistema4 5anto uno como otro ti&o los asigna el administrador a los usuarios
individuales o gru&os como &arte de la configuracin de seguridad del e+ui&o4
0ota: en esta seccin: se utiliza J?o est9 definidoJ &ara referirse Hnicamente a los
usuariosD los administradores siguen teniendo el derec$o de usuario4 8os
administradores locales &ueden realizar cambios: &ero cual+uier &ar9metro de
Directiva de gru&o basado en el dominio los anular9 la &r;ima vez +ue las directivas
de gru&o se actualicen o se vuelvan a a&licar4
0uede establecer los valores de configuracin de las asignaciones de derec$os de
usuario en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de
ob,etos de directiva de gru&o:
seguridad14irecti%as locales
15signaci+n de derechos de usuario
8as asignaciones de derec$os de usuario &redeterminadas difieren segHn los diversos
ti&os de servidores de la organizacin4 0or e,em&lo: indo!s "erver 200# asigna
derec$os diferentes a los gru&os integrados de los servidores miembro 7 de los
controladores de dominio4 2(n la siguiente lista no se detallan las similitudes
e;istentes entre los gru&os integrados de los distintos ti&os de servidor43
Ser%idores miem$ro
,suarios a%anzados4 0oseen la ma7ora de las ca&acidades
administrativas con algunas restricciones4 0ueden e,ecutar a&licaciones
$eredadas adem9s de a&licaciones certificadas &ara indo!s "erver 200#
con "01 o indo!s B04
8elpSer%icesAroup4 (s el gru&o del *entro de a7uda 7 so&orte t6cnico4
"u&&ortO#AA>@5a0 es miembro de este gru&o de forma &redeterminada4
.elnetClients4 8os miembros de este gru&o tienen acceso al servidor
5elnet de la red4
Controladores de dominio
-peradores de ser%idores4 8os miembros de este gru&o &ueden
administrar servidores de dominio4
Ser%icios de licencias de .erminal Ser%er4 8os miembros de este gru&o
tienen acceso a los servidores de licencias de 5erminal "erver de la red4
Arupo de acceso de autorizaci+n de 2indo3s4 8os miembros de este
gru&o tienen acceso al atributo inform9tico to1en)rou&s)lobalAndKniversal
en ob,etos de usuario4
(l gru&o 7n%itados 7 las cuentas de usuario Invitado 7 "u&&ortO#AA>@5a0 tienen
"ID Hnicos entre diferentes dominios4 0or lo tanto: +uiz9s sea necesario modificar
esta directiva de gru&o &ara las asignaciones de derec$os de usuario en los e+ui&os
donde slo e;ista el gru&o de destino es&ecfico4 Asimismo: las &lantillas de directivas
se &ueden editar individualmente a fin de incluir los gru&os adecuados dentro de los
arc$ivos 4inf4 0or e,em&lo: se &uede crear una directiva de gru&o del controlador de
dominio en un controlador de dominio +ue se encuentre en un entorno de &rueba4
0ota: a causa de +ue e;isten "ID Hnicos entre los miembros del gru&o 7n%itados:
"u&&ortO#AA>@5a0 e Invitado: algunas configuraciones utilizadas &ara reforzar la
seguridad de los servidores no se &uede automatizar mediante las &lantillas de
seguridad incluidas en esta gua4 (stas configuraciones se describen en la seccin
J*onfiguracin de seguridad adicionalJ de este ca&tulo4
(n esta seccin se &ro&orcionan detalles sobre la configuracin recomendada de
asignaciones de derec$os de usuario de la directiva -"F0 &ara los tres entornos
definidos en esta gua4 0ara obtener un resumen de las configuraciones
recomendadas en esta seccin: consulte el libro de -icrosoft (;cel
Jindo!s "erver 200# "ecurit7 )uide "ettingsJ +ue se inclu7e con la versin
descargable de esta gua4 0ara obtener m9s informacin acerca de la configuracin
&redeterminada 7 una e;&licacin detallada de las configuraciones descritas en esta
seccin: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin
de seguridad en Windows Server 2003 y Windows XP4
8a tabla siguiente inclu7e recomendaciones de configuracin de las asignaciones de
derec$os de usuario &ara los tres entornos definidos en esta gua4 8a informacin
adicional de cada configuracin se &ro&orciona en las subsecciones +ue se muestran
des&u6s de la tabla4
.a$la 4.11 <ecomendaciones de con'iguraci+n de las asignaciones de
derechos de usuario
Con'iguraci+n Cliente heredado Cliente de empresa
Seguridad
especializada:
Funcionalidad
limitada
5ener acceso a
este e+ui&o
desde la red
?o est9 definido ?o est9 definido
Administradores:
Ksuarios
autenticados:
*%?5'%8AD%'(" D(
D%-I?I% D(
(-0'("A
Actuar como
&arte del sistema
o&erativo
?o est9 definido ?o est9 definido ?inguno
A,ustar las cuotas
de memoria &ara
un &roceso
Administradores:
"('RI*I% D( '(D:
"('RI*I% 8%*A8
0ermitir el inicio
de sesin local
Administradores:
%&eradores de co&ia
de seguridad:
Ksuarios avanzados
Administradores:
%&eradores de co&ia
de seguridad:
Ksuarios avanzados
Administradores
0ermitir inicio de
sesin a trav6s
de "ervicios de
5erminal "erver
Administradores 7
usuarios de e+ui&os
de escritorio remotos
Administradores 7
usuarios de e+ui&os
de escritorio remotos
Administradores
'ealizar co&ias de
seguridad de
arc$ivos 7
directorios
?o est9 definido ?o est9 definido Administradores
%mitir la
com&robacin de
recorrido
?o est9 definido ?o est9 definido Ksuarios autenticados
*ambiar la $ora
del sistema
*rear un arc$ivo
de &aginacin
*rear un ob,eto
5o1en
*rear ob,etos
globales
Administradores:
"('RI*I%
*rear ob,etos
com&artidos
&ermanentes
De&urar
&rogramas
?o est9 definido Administradores ?inguno
Denegar el
acceso desde la
red a este e+ui&o
I?I*I% D( "("IS?
A?S?I-%D InvitadosD
"u&&ortO#AA>@5a0D
todas las cuentas de
servicios +ue ?%
sean del sistema
o&erativo
I?I*I% D( "("IS?
A?S?I-%D InvitadosD
"u&&ortO#AA>@5a0D
servicios +ue ?%
sean del sistema
o&erativo
I?I*I% D( "("IS?
A?S?I-%D InvitadosD
"u&&ortO#AA>@5a0D
servicios +ue ?% sean
del sistema o&erativo
Denegar el inicio
de sesin como
traba,o &or lotes
InvitadosD
"u&&ortO#AA>@5a0
InvitadosD
"u&&ortO#AA>@5a0
InvitadosD
"u&&ortO#AA>@5a0D
Denegar el inicio
de sesin como
servicio
Denegar el inicio
de sesin
localmente
InvitadosD
"u&&ortO#AA>@5a0D
Denegar inicio de
sesin a trav6s
de "ervicios de
5erminal "erver
Invitados Invitados Invitados
Gabilitar la o&cin
De confianza &ara
la delegacin en
las cuentas de
usuario 7 de
e+ui&o
Eorzar el a&agado
de un sistema
remoto
)enerar
auditoras de
seguridad
"('RI*I% D( '(D:
"('RI*I% 8%*A8
"u&lantar a un
cliente des&u6s
de la
autenticacin
Administradores:
"('RI*I%
Aumentar la
&rioridad de
&rogramacin
*argar 7
descargar
controladores de
dis&ositivo
Flo+uear &9ginas
en la memoria
Iniciar sesin
como &roceso &or
lotes
?o est9 definido ?o est9 definido ?o est9 definido
Iniciar sesin
como servicio
?o est9 definido ?o est9 definido "('RI*I% D( '(D
Administrar
registros de
auditora 7 de
seguridad
-odificar valores
de entorno del
firm!are
'ealizar tareas de
mantenimiento
de volHmenes
Gacer &erfil de un
solo &roceso
0erfilar el
rendimiento del
sistema
Tuitar el e+ui&o
de la estacin de
aco&lamiento
'eem&lazar un
to1en a nivel de
&roceso
"('RI*I% 8%*A8:
"('RI*I% D( '(D
'estaurar
arc$ivos 7
directorios
*errar el sistema ?o est9 definido ?o est9 definido Administradores
"incronizar los
datos del servicio
de directorio
5omar &osesin
de arc$ivos u
otros ob,etos

Tener acceso a este equipo desde la red
(sta configuracin de directiva determina los usuarios 7 gru&os con autorizacin &ara
conectarse al e+ui&o a trav6s de la red4 (s necesaria &ara una serie de &rotocolos de
red: entre los +ue se encuentran los &rotocolos basados en blo+ues de mensa,es de
servidor 2"-F3: ?etFI%": el sistema comHn de arc$ivos de Internet 2*IE"3 7 el
modelo de ob,etos com&onentes 0lus 2*%-U34
.ener acceso a este e*uipo desde la red se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: aun+ue los &ermisos asignados al gru&o de
seguridad .odos de indo!s "erver 200# con "01 7a no otorgan acceso a los
usuarios annimos: los gru&os 7 las cuentas de invitados todava &ueden tener
asignado acceso mediante el gru&o de seguridad .odos4 0or esta razn: en el
entorno ""8E se deniega el derec$o de usuario .ener acceso a este e*uipo desde
la red al gru&o de seguridad .odos: lo +ue &ermite ofrecer una &roteccin frente a
los ata+ues +ue &retenden tener acceso al dominio como invitado4 "lo los gru&os
5dministradores: ,suarios autenticados 7 E0.E<(<7SE 4-#570
C-0.<-LLE<S tienen asignado este derec$o de usuario en el entorno ""8E4
Actuar como parte del sistema operativo
(sta configuracin de directiva determina si un &roceso &uede asumir la identidad de
cual+uier usuario 7 as tener acceso a los recursos &ara los +ue el usuario tiene
autorizacin de acceso4 )eneralmente: slo los servicios de autenticacin de ba,o
nivel re+uieren este derec$o de usuario4
(l derec$o de usuario 5ctuar como parte del sistema operati%o se configura
como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno
""8E: esta configuracin de directiva se establece en un valor nulo o en blanco: +ue
deniega este derec$o de usuario a todos los gru&os de seguridad 7 cuentas4
Ajustar las cuotas de memoria para un proceso
(sta configuracin de directiva determina si usuarios &ueden a,ustar la cantidad
m9;ima de memoria dis&onible &ara un &roceso4 'esulta Htil &ara el a,uste de
e+ui&os: si bien se &uede llegar a abusar de ella4 Kn atacante &odra a&rovec$ar la
vulnerabilidad de este derec$o de usuario &ara iniciar un ata+ue Do"4
5:ustar las cuotas de memoria para un proceso se configura como 0o est
de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna
al gru&o 5dministradores: "('RI*I% D( '(D 7 "('RI*I% 8%*A8 &ara el entorno
""8E4
Permitir el inicio de sesin local
(sta configuracin de directiva determina los usuarios +ue &ueden iniciar sesin de
forma interactiva en el e+ui&o es&ecificado4 0ara +ue se &uedan iniciar sesiones con
la combinacin de teclas *trlUAltU"u&r: el usuario debe dis&oner de este derec$o4
Kna cuenta con este derec$o de usuario se &odra utilizar &ara iniciar una sesin en la
consola local del e+ui&o4
(l derec$o de usuario (ermitir el inicio de sesi+n local est9 restringido a los
gru&os 5dministradores: -peradores de copia de seguridad 7 ,suarios
a%anzados &ara los entornos 8* 7 (*: lo +ue &ermite im&edir el inicio de sesin &or
&arte de usuarios no autorizados +ue deseen elevar sus &rivilegios o introducir virus
en el entorno4 (ste derec$o de usuario se asigna slo al gru&o de administradores
del entorno ""8E4
Permitir inicio de sesin a travs de Servicios de Terminal Server
(sta configuracin de directiva determina los usuarios o gru&os +ue tienen &ermiso
&ara iniciar sesin como un cliente de "ervicios de 5erminal "erver4
0ara los entornos 8* 7 (*: el derec$o de usuario (ermitir inicio de sesi+n a tra%Bs
de Ser%icios de .erminal Ser%er est9 restringido a los gru&os 5dministradores 7
,suarios de escritorio remoto4 0ara el entorno ""8E: slo los miembros del gru&o
5dministradores tienen asignado este derec$o de usuario4
Realizar copias de seguridad de archivos y directorios
(sta configuracin de directiva determina si los usuarios &ueden evadir los &ermisos
de arc$ivo 7 directorio al $acer una co&ia de seguridad del e+ui&o4 "lo se utiliza
cuando una a&licacin intenta tener acceso a trav6s de la interfaz de &rogramacin
de a&licaciones 2A0I3 de co&ia de seguridad ?5E" mediante una utilidad de co&ia de
seguridad como ?5FA*MK04(B(4 De lo contrario: se a&lican los &ermisos normales de
directorios 7 arc$ivos4
<ealizar copias de seguridad de archi%os directorios se configura como 0o
est de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al
gru&o de administradores del entorno ""8E4
Omitir la comprobacin de recorrido
(sta configuracin de directiva determina si los usuarios &ueden &asar a trav6s de
car&etas sin +ue se com&ruebe el &ermiso de acceso es&ecial J'ecorrer la car&etaJ
cuando navegan &or una ruta de ob,eto en el sistema de arc$ivos ?5E" o en el
'egistro4 (ste derec$o de usuario no &ermite al usuario mostrar el contenido de una
car&eta: slo recorrer los directorios4
-mitir la compro$aci+n de recorrido se configura como 0o est de'inido &ara
los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o ,suarios
autenticados del entorno ""8E4
ambiar la hora del sistema
(sta configuracin de directiva determina los usuarios +ue &ueden cambiar la fec$a 7
$ora del relo, interno del e+ui&o4 8os usuarios +ue tienen asignado este derec$o de
usuario &ueden influir en la a&ariencia de los registros de eventos: +ue tienen una
marca de tiem&o segHn el relo, interno del e+ui&o4 "i se cambia la $ora del e+ui&o:
los registros no refle,ar9n la $ora real en la +ue se &rodu,eron dic$os eventos4
Cam$iar la hora del sistema se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o de
administradores del entorno ""8E4
0ota: las discre&ancias entre la $ora del e+ui&o local 7 la de los controladores de
dominio &ueden acarrear &roblemas &ara el &rotocolo de autenticacin Merberos: +ue
&ueden im&edir +ue los usuarios inicien sesin en el dominio u obtengan autorizacin
de acceso a los recursos del dominio tras iniciar una sesin4
rear un archivo de paginacin
(sta configuracin de directiva determina si los usuarios &ueden crear 7 cambiar el
tamaCo de un arc$ivo de &aginacin4 0ara realizar esta tarea: el usuario es&ecifica un
tamaCo de arc$ivo de &aginacin &ara una unidad concreta en el cuadro -pciones
de rendimiento situado en la fic$a 5%anzadas del cuadro de di9logo (ropiedades
del sistema4
Crear un archi%o de paginaci+n se configura como 0o de'inido &ara los entornos
8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o 5dministradores del
entorno ""8E4
rear un objeto To!en
(sta configuracin de directiva determina si un &roceso &uede crear un to1en: +ue
&odr9 utilizar &osteriormente el &roceso &ara obtener acceso a cual+uier recurso local
cuando use ?t*reate5o1en23 u otra A0I de creacin de to1en4
Crear un o$:eto .oCen se configura como 0o est de'inido &ara los entornos 8* 7
(*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura
en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta
tendr9 este derec$o de usuario4
rear objetos globales
(sta configuracin de directiva &ermite a los usuarios crear ob,etos globales +ue
est6n dis&onibles &ara todas las sesiones4 8os usuarios &ueden seguir creando
ob,etos es&ecficos &ara su &ro&ia sesin sin tener asignado este derec$o de usuario4
Crear o$:etos glo$ales se configura como 0o est de'inido &ara los entornos 8* 7
(*4 0ara el entorno ""8E: este derec$o de usuario slo se asigna a los gru&os
SE<D7C7- 7 5dministradores4
rear objetos compartidos permanentes
(sta configuracin de directiva determina si los usuarios &ueden crear ob,etos de
directorio en el administrador de ob,etos: lo +ue significa +ue &ueden crear car&etas:
im&resoras 7 otros ob,etos com&artidos4 (s Htil &ara los com&onentes de modo 1ernel
+ue am&lan el es&acio de nombres de ob,etos 7 &ara los com&onentes +ue tienen
este derec$o de usuario intrnsecamente4 0or tanto: generalmente no es necesario
asignar este derec$o de forma es&ecfica a los usuarios4
Crear o$:etos compartidos permanentes se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de
directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o
de seguridad o cuenta tendr9 este derec$o de usuario4
"epurar programas
(sta configuracin de directiva determina los usuarios +ue &ueden ad,untar un
de&urador a cual+uier &roceso o al 1ernel4 0ro&orciona acceso a com&onentes crticos
7 confidenciales del sistema o&erativo4 8a de&uracin de &rogramas no se debe llevar
a cabo en entornos de &roduccin: e;ce&to en circunstancias e;tremas: como cuando
es necesario solucionar un &roblema de una a&licacin fundamental &ara la em&resa
+ue no se &uede evaluar de forma eficaz en un entorno de &rueba4
4epurar programas se configura como 0o est de'inido &ara el entorno 8*4 0ara
el entorno (*: este derec$o de usuario slo se asigna al gru&o 5dministradores4 "in
embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un
valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta
0ota: si en indo!s "erver 200# con "01 se +uita el derec$o de usuario 4epurar
programas: es &osible +ue no se &ueda utilizar el servicio indo!s K&date4 "in
embargo: las revisiones se &ueden descargar manualmente e instalarse o a&licarse
&or otros medios4 Tuitar este derec$o de usuario tambi6n &uede afectar al "ervicio
de clHster4 0ara obtener m9s informacin: consulte el artculo de -icrosoft Mno!ledge
Fase sobre cmo a&licar una configuracin de seguridad m9s restrictiva a un servidor
de clHster basado en indo!s "erver 200#
@
en $tt&://su&&ort4microsoft4com/<
1bid=A>15>7
@
2en ingl6s34
"enegar el acceso desde la red a este equipo
0ota: I?I*I% D( "("IS? A?S?I-%: Administrador integrado: "u&&ortO#AA>@5a0D
InvitadoD 7 todas las cuentas de servicios +ue ?% se inclu7an en la &lantilla de
seguridad 4inf4 (stas cuentas 7 gru&os tienen identificadores de seguridad 2"ID3
Hnicos &ara cada dominio de la organizacin4 0or lo tanto: se deben agregar
manualmente4 0ara m9s informacin: consulte la seccin J0rocedimientos de
seguridad manualesJ al final de este ca&tulo4
(sta configuracin de directiva determina los usuarios +ue no &odr9n tener acceso a
un e+ui&o a trav6s de la red4 Deniega una serie de &rotocolos de red: entre los +ue se
inclu7en los &rotocolos basados en "-F: ?etFI%": *IE": G550 7 *%-U4 (sta
configuracin de directiva anula el derec$o de usuario .ener acceso a este e*uipo
desde la red cuando una cuenta de usuario tiene asignada ambas configuraciones4
0ara los tres entornos definidos en esta gua: se asigna el derec$o de usuario
4enegar el acceso desde la red a este e*uipo al gru&o 7n%itados: I?I*I% D(
"("IS? A?S?I-%: "u&&ortO#AA>@5a0: as como a todas las cuentas de servicios +ue
no son &arte del sistema o&erativo4
8a configuracin de este &ar9metro de directiva &ara otros gru&os &odra limitar las
ca&acidades de los usuarios asignados a funciones administrativas es&ecficas del
entorno4 Debe verificar +ue las tareas delegadas no se vean afectadas de forma
negativa4
"enegar el inicio de sesin como trabajo por lotes
(sta configuracin de directiva determina las cuentas +ue no &odr9n registrarse en el
e+ui&o como un traba,o &or lotes4 Kn traba,o &or lotes no es un arc$ivo &or lotes
24bat3: sino m9s bien un servicio de cola de &roceso &or lotes4 8as cuentas +ue
utilizan el 0rogramador de 5areas &ara &rogramar los traba,os necesitan este derec$o
de usuario4
(l derec$o de usuario 4enegar el inicio de sesi+n como tra$a:o por lotes
invalida el derec$o de usuario 7niciar sesi+n como proceso por lotes: +ue se
&odra utilizar &ara &ermitir a las cuentas &rogramar traba,os +ue consumen recursos
e;cesivos del sistema4 (sto &odra causar una condicin Do"4 0or esta razn: el
derec$o de usuario 4enegar el inicio de sesi+n como tra$a:o por lotes se asigna
al gru&o 7n%itados 7 a la cuenta de usuario "u&&ortO#AA>@5a0 en la directiva de
lnea de base &ara los tres entornos definidos en esta gua4 "i no se asigna este
derec$o de usuario a las cuentas recomendadas &uede &roducirse un riesgo de
seguridad4
"enegar el inicio de sesin como servicio
(sta configuracin de directiva determina si los servicios se &ueden iniciar en el
conte;to de la cuenta es&ecificada4
4enegar el inicio de sesi+n como ser%icio se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de
directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o
de seguridad o cuenta tendr9 este derec$o de usuario4
"enegar el inicio de sesin localmente
(sta configuracin de directiva determina si los usuarios &ueden iniciar sesin
directamente en el teclado de e+ui&o4
4enegar el inicio de sesi+n localmente se configura como 0o est de'inido &ara
los entornos (* 7 8*4 "in embargo: este derec$o de usuario se asigna slo al gru&o
7n%itados 7 a la cuenta de usuario "u&&ortO#AA>@5a0 &ara el entorno ""8E4 "i no
se asigna este derec$o de usuario a las cuentas recomendadas &uede &roducirse un
riesgo de seguridad4
"enegar inicio de sesin a travs de Servicios de Terminal Server
(sta configuracin de directiva determina si los usuarios &ueden iniciar sesin como
clientes de "ervicios de 5erminal "erver4 Des&u6s de +ue el servidor miembro de
lnea de base se una a un entorno de dominio: no es necesario utilizar cuentas locales
&ara tener acceso al servidor desde la red4 8as cuentas de dominio &ueden tener
acceso al servidor con fines de &rocesamientos administrativos 7 de usuarios finales4
0ara los tres entornos definidos en esta gua: el gru&o 7n%itados tiene asignado el
derec$o de usuario 4enegar inicio de sesi+n a tra%Bs de Ser%icios de .erminal
Ser%er de modo +ue sus miembros no &uedan iniciar sesin a trav6s de "ervicios de
5erminal "erver4
#abilitar la opcin "e con$ianza para la delegacin en las cuentas de usuario y de equipo
(sta configuracin de directiva determina si los usuarios &ueden cambiar la
configuracin 4e con'ianza para la delegaci+n en un ob,eto de usuario o e+ui&o
en Active Director74 8os usuarios o e+ui&os a los +ue se asigna este derec$o de
usuario tambi6n deben dis&oner de acceso de escritura a los indicadores de control
de cuenta en el ob,eto4 Kn abuso de este derec$o de usuario &odra causar la
su&lantacin no autorizada de otros usuarios en la red4
8a$ilitar la opci+n 4e con'ianza para la delegaci+n en las cuentas de usuario
de e*uipo se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in
embargo: este derec$o del usuario se asigna slo al gru&o de administradores del
entorno ""8E4
%orzar el apagado de un sistema remoto
(sta configuracin de directiva determina si los usuarios &ueden a&agar los e+ui&os
desde ubicaciones remotas de la red4 *ual+uier usuario +ue &ueda a&agar un e+ui&o
&uede &rovocar una condicin Do"4 0or lo tanto: este derec$o de usuario debe
restringirse al m9;imo4
Forzar el apagado de un sistema remoto se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al
gru&o 5dministradores del entorno ""8E4
&enerar auditor'as de seguridad
(sta configuracin de directiva determina si un &roceso &uede generar registros de
auditora en el registro de seguridad4 *omo el registro de seguridad se &uede utilizar
&ara $acer un seguimiento del acceso no autorizado: un atacante &uede utilizar las
cuentas +ue &ueden escribir en dic$o registro &ara llenarlo con eventos +ue carecen
de sentido4 "i configura el e+ui&o de modo +ue se sobrescriban los eventos cuando
sea necesario: el atacante &odra usar esta ca&acidad &ara eliminar la evidencia de
las actividades no autorizadas +ue realiza4 "i configura el e+ui&o &ara a&agarse
cuando no se &ueda escribir en el registro de seguridad: un atacante &odra utilizar
esta ca&acidad &ara crear una condicin Do"4
Aenerar auditor/as de seguridad se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 (ste derec$o de usuario slo se asigna a las cuentas "('RI*I% D(
'(D 7 "('RI*I% 8%*A8 &ara el entorno ""8E4
Suplantar a un cliente despus de la autenticacin
(sta configuracin de directiva determina si las a&licaciones +ue se e,ecutan en
nombre de un usuario autenticado &ueden su&lantar a clientes4 "i este derec$o de
usuario se re+uiere &ara este ti&o de su&lantacin: un usuario no autorizado no &odr9
convencer a un cliente de +ue se conecte 2&or e,em&lo: mediante una llamada a
&rocedimiento remoto 2'0*3 o canalizaciones con nombre3 a un servicio creado &ara
su&lantar a ese cliente4 (l usuario no autorizado &odra utilizar esta ca&acidad &ara
elevar sus &ermisos a niveles administrativos o del sistema4
Suplantar a un cliente despuBs de la autenticaci+n se configura como 0o est
de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna
slo al gru&o 5dministradores 7 "('RI*I% del entorno ""8E4
Aumentar la prioridad de programacin
(sta configuracin de directiva determina si los usuarios &ueden aumentar la clase de
&rioridad base de un &roceso4 (l aumento en la &rioridad relativa dentro de una clase
de &rioridad no es una o&eracin de &rivilegio4 8as $erramientas administrativas
incluidas en el sistema o&erativo no necesitan este derec$o de usuario: aun+ue s lo
&ueden &recisar las $erramientas de desarrollo de soft!are4 Kn usuario +ue tenga
asignado este derec$o &uede aumentar la &rioridad de &rogramacin de un &roceso a
tiem&o real 7 de,ar &oco tiem&o de &rocesamiento &ara los dem9s &rocesos: lo +ue
&uede &rovocar una condicin Do"4
5umentar la prioridad de programaci+n se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al
argar y descargar controladores de dispositivo
(sta configuracin de directiva determina los usuarios +ue &ueden cargar 7 descargar
din9micamente controladores de dis&ositivos4 (ste derec$o de usuario no es
necesario si 7a e;iste un controlador firmado &ara el nuevo $ard!are en el arc$ivo
Driver4cab del e+ui&o4 8os controladores de dis&ositivos se e,ecutan como un cdigo
con &rivilegios elevados4 Kn usuario con el derec$o de usuario Cargar descargar
controladores de dispositi%o &uede instalar cdigo malintencionado +ue se $aga
&asar &or un controlador de dis&ositivo 2bien de forma involuntaria o de otro modo34
28os administradores deben tener m9s cuidado e instalar slo a+uellos controladores
con firmas digitales com&robadas43
Cargar descargar controladores de dispositi%o se configura como 0o est
slo al gru&o de administradores del entorno ""8E4
(loquear p)ginas en la memoria
(sta configuracin de directiva determina si un &roceso &uede mantener los datos en
la memoria fsica: lo +ue im&ide al e+ui&o la &aginacin de los datos en la memoria
virtual del disco4 (sto &odra degradar en gran medida el rendimiento4 8os usuarios
+ue tienen asignado este derec$o &ueden asignar memoria fsica a varios &rocesos 7
de,ar &oca o ninguna memoria de acceso aleatorio 2'A-3 &ara otros &rocesos: lo +ue
&odra &rovocar una condicin Do"4
&lo*uear pginas en la memoria se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva
se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de
seguridad o cuenta tendr9 este derec$o de usuario4
*niciar sesin como servicio
(sta configuracin de directiva determina si una entidad &rinci&al de seguridad &uede
iniciar sesin como un servicio4 8os servicios se &ueden configurar &ara e,ecutarse
con las cuentas "istema local: "ervicio local o "ervicio de red: +ue tienen derec$os
integrados &ara iniciar sesin como un servicio4 5odo servicio +ue se e,ecute en una
cuenta de usuario diferente debe tener asignado este derec$o de usuario4
7niciar sesi+n como ser%icio se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo a la cuenta
"ervicio de red del entorno ""8E4
Administrar registros de auditor'a y de seguridad
(sta configuracin de directiva determina si los usuarios &ueden es&ecificar o&ciones
de auditora de acceso a ob,etos &ara recursos individuales: como arc$ivos: ob,etos
de Active Director7 7 claves del 'egistro4 (ste derec$o de usuario &ro&orciona
muc$as ca&acidades 7 es necesario vigilarlo de cerca4 *ual+uier usuario con este
derec$o &uede borrar el registro de seguridad: as como &osiblemente evidencias
im&ortantes sobre las actividades no autorizadas4
5dministrar registros de auditor/a de seguridad se configura como 0o est
slo al gru&o 5dministradores del entorno ""8E4
7mportante: -icrosoft (;c$ange "erver 200# modifica este derec$o de usuario en la
directiva &redeterminada de controladores de dominio durante el &roceso de
instalacin4 0ara obtener m9s detalles: consulte la informacin dis&onible en lnea
sobre la im&lementacin de (;c$ange "erver 200#
5
en
$tt&://!!!4microsoft4com/tec$net/&rodtec$nol/e;c$ange/guides/(21#AD0erm/110e
#7bfIaLAcI@7bbIb@d5I1cfd5#>d>cba4ms&;
5
2en ingl6s34 "i este derec$o de usuario
est9 restringido al gru&o del administrador: (;c$ange registrar9 con frecuencia
mensa,es de error en el registro de eventos de a&licacin4 "i usa
(;c$ange "erver 200#: deber9 a,ustar el valor de esta configuracin &ara los
controladores de dominio4 Al igual +ue con el resto de las configuraciones
recomendadas en esta gua: es &osible +ue deba realizar algunos a,ustes &ara +ue las
a&licaciones de la organizacin funcionen con normalidad4
+odi$icar valores de entorno del $irm,are
(sta configuracin de directiva determina si las variables de entorno del e+ui&o las
&uede modificar un &roceso a trav6s de una A0I o un usuario a trav6s de
(ropiedades del sistema4 *ual+uiera +ue tenga asignado este derec$o &uede
configurar los &ar9metros de un com&onente de $ard!are &ara +ue genere errores:
lo +ue &uede &rovocar una corru&cin de datos o condicin Do"4
#odi'icar %alores de entorno del 'irm3are se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al
Realizar tareas de mantenimiento de vol-menes
(sta configuracin de directiva determina si un usuario no administrativo o remoto
&uede administrar los volHmenes o discos4 Kn usuario +ue tenga asignado este
derec$o &uede eliminar un volumen: lo +ue &rovocara una &6rdida de datos o
condicin Do"4
<ealizar tareas de mantenimiento de %olEmenes se configura como 0o est
#acer per$il de un solo proceso
(sta configuracin de directiva determina los usuarios +ue &ueden utilizar
$erramientas de su&ervisin de rendimiento &ara controlar el rendimiento de
&rocesos +ue no son del sistema4 (ste derec$o de usuario su&one una vulnerabilidad
moderada &uesto +ue un atacante con esta ca&acidad &odra su&ervisar el
rendimiento de un e+ui&o &ara identificar los &rocesos fundamentales +ue desea
atacar directamente4 (l atacante tambi6n &uede determinar cu9les son los &rocesos
+ue se e,ecutan en el e+ui&o &ara &oder identificar las contramedidas +ue deber9
evitar: como un soft!are antivirus: un sistema de deteccin de intrusiones u otros
usuarios +ue tengan iniciada una sesin en el e+ui&o4
8acer per'il de un solo proceso se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 0ara obtener una ma7or seguridad: asegHrese de +ue el gru&o
,suarios a%anzados no tiene asignado este derec$o de usuario en el entorno ""8ED
slo los miembros del gru&o 5dministradores deben tener esta ca&acidad en este
ti&o de entornos4
Per$ilar el rendimiento del sistema
(sta configuracin de directiva es seme,ante a la anterior4 Determina si los usuarios
&ueden su&ervisar el rendimiento de los &rocesos del sistema4 (ste derec$o de
usuario su&one una vulnerabilidad moderada &uesto +ue un atacante con este
&rivilegio &odra su&ervisar el rendimiento de un e+ui&o &ara identificar los &rocesos
fundamentales +ue desea atacar directamente4 (l atacante tambi6n &odra
determinar cu9les son los &rocesos +ue se e,ecutan en el e+ui&o &ara &oder
identificar contramedidas +ue deber9 evitar: como un soft!are antivirus o un sistema
de deteccin de intrusiones4
(er'ilar el rendimiento del sistema se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al gru&o de
administradores del entorno ""8E4
.uitar el equipo de la estacin de acoplamiento
(sta configuracin de directiva determina si los usuarios de e+ui&os &ort9tiles &ueden
$acer clic en <etirar e*uipo en el menH 7nicio &ara desaco&lar los e+ui&os4
*ual+uier usuario +ue tenga asignado este derec$o &uede +uitar un e+ui&o &ort9til de
la estacin de aco&lamiento4
Fuitar el e*uipo de la estaci+n de acoplamiento se configura como 0o est
Reemplazar un to!en a nivel de proceso
(sta configuracin de directiva determina si un &roceso &rinci&al &uede reem&lazar el
to1en de acceso asociado a un &roceso secundario4
<eemplazar un toCen a ni%el de proceso se configura como 0o est de'inido
&ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario slo se asigna a las
cuentas "('RI*I% 8%*A8 7 "('RI*I% D( '(D &ara el entorno ""8E4
Restaurar archivos y directorios
(sta configuracin de directiva determina los usuarios +ue &ueden omitir los &ermisos
de arc$ivos: directorios: 'egistro 7 otros ob,etos &ersistentes cuando restauran
co&ias de seguridad de arc$ivos 7 directorios4 5ambi6n determina +u6 usuarios
&ueden establecer cual+uier entidad de seguridad v9lida &rinci&al como &ro&ietaria de
un ob,eto4
<estaurar archi%os directorios se configura como 0o est de'inido &ara los
entornos 8* 7 (*4 "in embargo: slo el gru&o 5dministradores tiene asignado este
derec$o de usuario &ara el entorno ""8E4 8as tareas de restauracin de arc$ivos
generalmente las llevan a cabo los administradores o los miembros de otro gru&o de
seguridad es&ecficamente delegado: es&ecialmente cuando se trata de servidores o
controladores de dominio e;tremadamente im&ortantes4
errar el sistema
(sta configuracin de directiva determina los usuarios +ue tienen iniciada una sesin
local +ue &ueden cerrar el sistema o&erativo con el comando 5pagar4 Debido a +ue
un uso incorrecto de esta ca&acidad &uede &rovocar una condicin Do": la ca&acidad
de cerrar los controladores de dominio se debera limitar a un nHmero reducido de
administradores +ue sean de confianza4 A &esar de +ue es necesario iniciar sesin en
el servidor &ara &oder cerrar el sistema: es im&ortante tener cuidado con las cuentas
7 gru&os a los +ue se concede &ermiso &ara a&agar un controlador de dominio4
Cerrar el sistema se configura como 0o est de'inido &ara los entornos 8* 7 (*4
"in embargo: slo el gru&o 5dministradores tiene asignado este derec$o de usuario
&ara el entorno ""8E4
Sincronizar los datos del servicio de directorio
(sta configuracin de directiva determina si un &roceso &uede leer todos los ob,etos 7
&ro&iedades del directorio: inde&endientemente de la &roteccin de los ob,etos 7 las
&ro&iedades4 (ste derec$o de usuario es necesario &ara &oder usar los servicios de
sincronizacin 2Dirs7nc3 de directorios 8DA04
8a configuracin &redeterminada de Sincronizar los datos del ser%icio de
directorio es 0o est de'inido: +ue es un valor suficiente &ara los entornos 8* 7
(*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura
en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta
Tomar posesin de archivos u otros objetos
(sta configuracin de directiva determina si los usuarios &uede tomar &osesin de
cual+uier ob,eto +ue se &ueda asegurar en la red: como los ob,etos de
Active Director7: los arc$ivos 7 car&etas del sistema de arc$ivos ?5E": las
im&resoras: las claves del 'egistro: los servicios: los &rocesos 7 los sub&rocesos4
.omar posesi+n de archi%os u otros o$:etos se configura como 0o est
de'inido &ara los entornos 8* 7 (*4 "in embargo: debe asignar este derec$o de
usuario slo al gru&o 5dministradores &ara el entorno ""8E4
#pciones de seguridad
8as configuraciones de directiva de la seccin %&ciones de seguridad de la directiva
de gru&o se utilizan &ara $abilitar o des$abilitar ca&acidades 7 caractersticas: como
el acceso a una unidad de disco o una unidad de *DI'%- 7 los mensa,es de inicio de
sesin4 5ambi6n sirven &ara configurar otras o&ciones: como las relacionadas con la
firma digital de datos: los nombres de cuentas de administrador e invitado 7 el
funcionamiento de la instalacin de un controlador4
0uede configurar los valores de configuracin de las o&ciones de seguridad en
indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de
directiva de gru&o:
seguridad14irecti%as locales1
Seguridad1-pciones
?o todas las configuraciones incluidas en esta seccin e;isten en todos los ti&os de
e+ui&os4 0or lo tanto: &uede +ue las configuraciones de la &arte %&ciones de
seguridad de la directiva de gru&o +ue se definen en esta seccin se deban modificar
manualmente en los e+ui&os en los +ue est6n &resentes &ara +ue &uedan funcionar
&or com&leto4
(n las siguientes secciones se &ro&orcionan detalles sobre la configuracin
recomendada de las o&ciones de seguridad de la directiva -"F0 &ara los tres
entornos definidos en esta gua4 0ara obtener un resumen de la configuracin
recomendada: consulte el libro de -icrosoft (;cel Jindo!s "erver 200# "ecurit7
)uide "ettingsJ +ue se inclu7e con la versin descargable de esta gua4 0ara obtener
informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de
cada una de las configuraciones: consulte la gua com&lementaria: Amenazas y
contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP4
(n las tablas de las siguientes secciones se resume la configuracin recomendada
&ara los distintos ti&os de o&ciones de seguridad4 8as subsecciones a continuacin de
cada tabla &ro&orcionan informacin detallada sobre las configuraciones4
on$iguracin de cuentas
.a$la 4.1! -pciones de seguridad: recomendaciones de con'iguraci+n de
cuentas
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
estado de la cuenta de
administrador
?o est9
definido
?o est9
definido
Gabilitada
estado de la cuenta de
invitado
Des$abilitado Des$abilitado Des$abilitado
limitar el uso de cuentas
locales con contraseCa en
blanco slo &ara iniciar la
consola
Gabilitada Gabilitada Gabilitada

Cuentas: estado de la cuenta de administrador
(sta configuracin de directiva $abilita o des$abilita la cuenta de administrador
durante el funcionamiento normal4 Al iniciar un e+ui&o en modo seguro: la cuenta de
administrador siem&re est9 $abilitada: inde&endientemente del valor de esta
configuracin4
Cuentas: estado de la cuenta de administrador se configura como 0o est
de'inido &ara los entornos 8* 7 (* 7 como 8a$ilitado &ara el entorno ""8E4
Cuentas: estado de la cuenta de in%itado
(sta configuracin de directiva determina si la cuenta de invitado se $abilita o
des$abilita4 (sta cuenta &ermite +ue los usuarios de red no autenticados inicien
sesin como invitados 7 obtengan acceso al e+ui&o4
Cuentas: estado de la cuenta de in%itado se configura como 4esha$ilitado en la
directiva de lnea de base &ara los tres entornos definidos en esta gua4
Cuentas: limitar el uso de cuentas locales con contraseGa en $lanco s+lo para iniciar la
consola
(sta configuracin de directiva determina si las cuentas locales +ue no est9n
&rotegidas &or contraseCas se &ueden utilizar &ara iniciar sesin desde ubicaciones
distintas a la consola del e+ui&o fsico4 "i se $abilita: las cuentas locales con una
contraseCa +ue no est6 en blanco no &odr9n iniciar sesin en la red desde un cliente
remoto 7 las cuentas locales +ue no est6n &rotegidas &or contraseCas slo &odr9n
iniciar sesin fsicamente a trav6s del teclado de un e+ui&o4
Cuentas: limitar el uso de cuentas locales con contraseGa en $lanco s+lo
para iniciar la consola se configura en el valor &redeterminado 8a$ilitado en la
on$iguracin de auditor'a
.a$la 4.16 -pciones de seguridad: recomendaciones de con'iguraci+n de
auditor/a
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
auditar el acceso de ob,etos
globales del sistema
auditar el uso del &rivilegio
de co&ia de seguridad 7
restauracin
a&agar el sistema de
inmediato si no &uede
registrar auditoras de
seguridad
Des$abilitado Des$abilitado Gabilitada

5uditor/a: auditar el acceso de o$:etos glo$ales del sistema
(sta configuracin de directiva audita el acceso de los ob,etos globales del sistema
cuando se a&lica4 "i las configuraciones 5uditor/a: auditar el acceso de o$:etos
glo$ales del sistema 7 5uditar acceso a o$:etos est9n $abilitadas: se generar9
un gran nHmero de eventos de auditora4
5uditor/a: auditar el acceso de o$:etos glo$ales del sistema se configura en el
valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres
entornos definidos en esta gua4
0ota: los cambios en la configuracin de este &ar9metro de seguridad no tendr9n
efecto $asta +ue se reinicie indo!s "erver 200#4
5uditor/a: auditar el uso del pri%ilegio de copia de seguridad restauraci+n
(sta configuracin de directiva determina si se debe auditar el uso de todos
&rivilegios de usuario: incluidos los de co&ia de seguridad 7 restauracin: cuando la
configuracin de directiva 5uditar el uso de pri%ilegios est9 activa4 "i se $abilita:
se &odran generar un gran nHmero de eventos de seguridad: lo +ue causara una
res&uesta lenta en los servidores 7 un registro de numerosos eventos no relevantes
en el registro de seguridad4
0or tanto: 5uditor/a: auditar el uso del pri%ilegio de copia de seguridad
restauraci+n se configura en el valor &redeterminado 4esha$ilitado en la directiva
de lnea de base &ara los tres entornos definidos en esta gua4
0ota: los cambios en la configuracin de este &ar9metro de seguridad no tendr9n
efecto $asta +ue se reinicie indo!s "erver 200#4
5uditor/a: apagar el sistema de inmediato si no puede registrar auditor/as de seguridad
(sta configuracin de directiva determina si el e+ui&o se a&aga inmediatamente si no
&uede registrar eventos de seguridad4
"e $a determinado +ue la cantidad de carga administrativa necesaria &ara $abilitar
5uditor/a: apagar el sistema de inmediato si no puede registrar auditor/as de
seguridad en los entornos 8* 7 (* es demasiado grande4 0or lo tanto: esta
configuracin de directiva se establece en 4esha$ilitado en la directiva de lnea de
base &ara esos entornos4 "in embargo: se configura como 8a$ilitado en la directiva
de lnea de base &ara el entorno ""8E: &or+ue la carga administrativa adicional se
consider ace&table &ara im&edir la eliminacin de eventos del registro de seguridad:
salvo +ue un administrador decida es&ecficamente $acerlo as4
on$iguracin de dispositivos
dispositi%os
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
&ermitir el desblo+ueo sin
tener +ue iniciar sesin
&ermitir formatear 7
e;&ulsar medios
e;trables
Administradores Administradores Administradores
im&edir +ue los usuarios
instalen controladores de
im&resora
'estringir el acceso al *D
I'%- slo al usuario con
sesin iniciada localmente
?o est9 definido ?o est9 definido Des$abilitado
restringir el acceso a la
unidad de dis+uete slo al
usuario con sesin
iniciada localmente
com&ortamiento de
instalacin de controlador
no firmado
Avisar &ero
&ermitir la
instalacin
Avisar &ero
&ermitir la
instalacin
Avisar &ero &ermitir
la instalacin

4ispositi%os: permitir el des$lo*ueo sin tener *ue iniciar sesi+n
(sta configuracin de directiva determina si un e+ui&o &ort9til se &uede desaco&lar
sin +ue el usuario tenga +ue iniciar sesin en el e+ui&o4 0uede $abilitar esta
configuracin de directiva &ara +ue no sea necesario iniciar sesin 7 &ermitir el uso
de un botn de e;&ulsin en el $ard!are e;terno &ara desaco&lar el e+ui&o4 "i se
des$abilita: los usuarios +ue no tengan iniciada sesin deber9n tener asignado el
derec$o de usuario Fuitar el e*uipo de la estaci+n de acoplamiento4
4ispositi%os: permitir el des$lo*ueo sin tener *ue iniciar sesi+n se configura
como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos
en esta gua4
4ispositi%os: permitir 'ormatear expulsar medios extra/$les
(sta configuracin de directiva determina +u6 usuarios &ueden dar formato 7
e;&ulsar medios e;trables4 8os administradores deberan ser los Hnicos $abilitados
&ara e;&ulsar medios e;trables en los servidores4
0or tanto: se recomienda usar el valor &redeterminado 5dministradores &ara
4ispositi%os: permitir 'ormatear expulsar medios extra/$les en la directiva
de lnea de base de los tres entornos definidos en esta gua4
4ispositi%os: impedir *ue los usuarios instalen controladores de impresora
0ara +ue un e+ui&o &ueda im&rimir en una im&resora de red: debe tener instalado el
controlador &ara esa im&resora4 "i se $abilita 4ispositi%os: impedir *ue los
usuarios instalen controladores de impresora: slo los usuarios de los gru&os
5dministradores o ,suarios a%anzados o +ue tengan &rivilegios de o&erador de
servidor &odr9n instalar un controlador de im&resora &ara agregar una im&resora de
red4 "i se des$abilita: cual+uier usuario &odr9 instalar un controlador de im&resora4
4ispositi%os: impedir *ue los usuarios instalen controladores de impresora
se configura en el valor &redeterminado 8a$ilitado en la directiva de lnea de base
&ara los tres entornos definidos en esta gua4
4ispositi%os: restringir el acceso al C4"<-# s+lo al usuario con sesi+n iniciada localmente
(sta configuracin de directiva determina si los usuarios locales 7 remotos &ueden
obtener acceso a un *DI'%- simult9neamente4 "i se $abilita: slo el usuario +ue
$a7a iniciado sesin de forma interactiva &odr9 tener acceso a medios de *DI'%-
e;trables4 "i se $abilita 7 ningHn usuario $a iniciado sesin de forma interactiva: se
&odr9 tener acceso al *DI'%- a trav6s de la red4
4ispositi%os: restringir el acceso al C4"<-# s+lo al usuario con sesi+n
iniciada localmente se configura como 0o est de'inido en la directiva de lnea de
base &ara los entornos 8* 7 (*4 (n la directiva de lnea de base del entorno ""8E:
este &ar9metro de configuracin de directiva se establece como 4esha$ilitado.
4ispositi%os: restringir el acceso a la unidad de dis*uete s+lo al usuario con sesi+n iniciada
localmente
(sta configuracin de directiva determina si los usuarios locales 7 remotos &ueden
obtener acceso a un medio de dis+uete e;trable simult9neamente4 "i se $abilita: slo
el usuario +ue $a7a iniciado sesin de forma interactiva &odr9 tener acceso a medios
de dis+uete e;trables4 "i se $abilita 7 ningHn usuario $a iniciado sesin de forma
interactiva: se &odr9 tener acceso a los medios de dis+uete a trav6s de la red4
4ispositi%os: restringir el acceso a la unidad de dis*uete s+lo al usuario con
sesi+n iniciada localmente se configura como 0o est de'inido en la directiva de
lnea de base &ara los entornos 8* 7 (*4 (n la directiva de lnea de base del entorno
""8E: este &ar9metro de configuracin de directiva se establece como
4esha$ilitado.
4ispositi%os: comportamiento de instalaci+n de controlador no 'irmado
(sta configuracin de directiva determina lo +ue ocurre ante un intento de instalar un
controlador de dis&ositivo 2mediante una A0I de instalacin3 no a&robado 7 firmado
&or el laboratorio de calidad de $ard!are de indo!s 2GT834 (n funcin de cmo
se configure: se im&edir9 la instalacin de controladores no firmados o se advertir9 al
administrador de +ue est9 a &unto de instalar un controlador no firmado4
4ispositi%os: comportamiento de instalaci+n de controlador no 'irmado se
&uede utilizar &ara im&edir la instalacin de controladores +ue no est6n certificados
&ara e,ecutarse en indo!s "erver 200# con "014 "in embargo: esta configuracin
de directiva se establece en 5%isar pero permitir la instalaci+n en la directiva de
lnea de base &ara los tres entornos definidos en esta gua4 Kno de los &roblemas
&otenciales de esta configuracin es +ue las secuencias de comandos de instalacin
desatendida generar9n errores cuando se intenten instalar controladores no firmados4
on$iguracin de miembros de dominio
miem$ros de dominio
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
cifrar o firmar datos de canal
seguro digitalmente 2siem&re3
Des$abilitado Gabilitada Gabilitada
cifrar datos de canal seguro
digitalmente 2cuando sea
&osible3
Eirmar datos de canal seguro
digitalmente 2cuando sea
&osible3
des$abilitar los cambios de
contraseCa de cuentas de e+ui&o
duracin m9;ima de contraseCa
de cuenta de e+ui&o
#0 das #0 das #0 das
re+uerir clave de sesin
&rotegida 2indo!s 2000:
indo!s B0 o
indo!s "erver 200#3

#iem$ro de dominio: desci'rar o 'irmar digitalmente datos de un canal seguro (siempre)
(sta configuracin de directiva determina si todo el tr9fico de canal seguro iniciado
&or el miembro de dominio se debe firmar o cifrar4 "i un e+ui&o se $a configurado
&ara cifrar o firmar siem&re los datos de canal seguro: no &odr9 establecer un canal
seguro con un controlador de dominio +ue no &ueda firmar o cifrar todo el tr9fico de
canal seguro4
#iem$ro de dominio: desci'rar o 'irmar digitalmente datos de un canal
seguro (siempre) se configura como 4esha$ilitado en la directiva de lnea de base
&ara el entorno 8* 7 como 8a$ilitado &ara los entornos (* 7 ""8E4
0ota: con el ob,etivo de a&rovec$ar las venta,as de esta configuracin en las
estaciones de traba,o 7 los servidores miembro: todos los controladores de dominio
+ue formen &arte del dominio del miembro deben e,ecutar indo!s ?5 @40 con
"ervice 0ac1 La o la versin m9s reciente de indo!s4 Adem9s: esta configuracin
de directiva no es com&atible con indo!s >A "econd (dition: salvo +ue est6
instalado Dsclient4
#iem$ro de dominio: desci'rar digitalmente datos de un canal seguro (cuando sea posi$le)
(sta configuracin de directiva determina si un miembro de dominio &uede intentar
negociar el cifrado de todo el tr9fico de canal seguro +ue inicie4 "i se $abilita: el
miembro de dominio solicitar9 el cifrado de todo el tr9fico de canal seguro4 "i se
des$abilita: el miembro de dominio no &odr9 negociar el cifrado de canal seguro4
0or lo tanto: #iem$ro de dominio: desci'rar digitalmente datos de un canal
seguro (cuando sea posi$le) se configura como 8a$ilitado en la directiva de lnea
de base &ara los tres entornos definidos en esta gua4
#iem$ro de dominio: 'irmar digitalmente datos de un canal seguro (cuando sea posi$le)
(sta configuracin de directiva determina si un miembro de dominio &uede intentar
negociar una firma &ara todo el tr9fico de canal seguro +ue inicie4 (l re+uisito de
utilizar una firma &rotege el tr9fico e im&ide +ue una &ersona +ue eventualmente
ca&ture sus datos &ueda modificarlo4
#iem$ro de dominio: 'irmar digitalmente datos de un canal seguro (cuando
sea posi$le) se configura como 8a$ilitado en la directiva de lnea de base &ara los
tres entornos definidos en esta gua4
#iem$ro de dominio: desha$ilitar los cam$ios de contraseGa de cuentas de e*uipo
(sta configuracin de directiva determina si un miembro de dominio &uede cambiar
&eridicamente la contraseCa de la cuenta de e+ui&o4 "i se $abilita: el miembro de
dominio no &odr9 cambiar la contraseCa de la cuenta de e+ui&o4 "i se des$abilita: el
miembro de dominio &odr9 cambiar la contraseCa de la cuenta de e+ui&o tal 7 como
es&ecifi+ue la configuracin #iem$ro de dominio: duraci+n mxima de
contraseGa de cuenta de e*uipo: cu7o valor &redeterminado es cada #0 das4
8os e+ui&os +ue no &ueden cambiar autom9ticamente sus contraseCas de cuenta
est9n e;&uestos a sufrir un ata+ue &or &arte de un usuario +ue $a7a averiguado la
contraseCa de la cuenta de dominio del e+ui&o4 0or lo tanto: #iem$ro de dominio:
desha$ilitar los cam$ios de contraseGa de cuentas de e*uipo se configura
como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos
en esta gua4
#iem$ro de dominio: duraci+n mxima de contraseGa de cuenta de e*uipo
(sta configuracin de directiva determina la antigPedad m9;ima &ermitida &ara la
contraseCa de una cuenta de e+ui&o4 5ambi6n se a&lica a los e+ui&os con
indo!s 2000: &ero no est9 dis&onible a trav6s de las $erramientas de
Administrador de configuracin de seguridad de los mismos4 De forma
&redeterminada: los miembros de dominio cambian autom9ticamente sus
contraseCas cada #0 das4 "i se aumenta este intervalo de forma significativa o se
establece en 0 &ara +ue los e+ui&os no cambien las contraseCas: un atacante
dis&ondr9 de m9s tiem&o &ara realizar un ata+ue de fuerza bruta 7 averiguar la
contraseCa de una o m9s cuentas del e+ui&o4
0or lo tanto: #iem$ro de dominio: duraci+n mxima de contraseGa de cuenta
de e*uipo se configura como 6@ d/as en la directiva de lnea de base &ara los tres
#iem$ro de dominio: re*uerir cla%e de sesi+n protegida (2indo3s !@@@ o ms reciente)
(sta configuracin de directiva determina si la seguridad de clave de 12A bits se
re+uiere &ara los datos cifrados de canal seguro4 "i se $abilita: se &odr9 establecer
un canal seguro sin cifrado de 12A bits4 "i se des$abilita: el miembro de dominio
deber9 negociar la seguridad de clave con el controlador de dominio4 8as claves de
sesin utilizadas &ara establecer comunicaciones de canal seguro entre controladores
de dominio 7 e+ui&os miembro son muc$o m9s seguras en indo!s 2000 +ue en los
sistemas o&erativos anteriores de -icrosoft4
0or lo tanto: debido a +ue los tres entornos de seguridad descritos en esta gua
contienen controladores de dominio con indo!s 2000 o versiones su&eriores:
#iem$ro de dominio: re*uerir cla%e de sesi+n protegida (2indo3s !@@@ o
ms reciente) se configura como 8a$ilitado en la directiva de lnea de base &ara
los tres entornos4
0ota: si $abilita esta configuracin de directiva: no &odr9 unir e+ui&os +ue e,ecuten
indo!s 2000 a dominios con indo!s ?5 @404
on$iguracin de inicio de sesin interactivo
.a$la 4.1; -pciones de seguridad: recomendaciones de con'iguraci+n de
inicio de sesi+n interacti%o
Con'iguraci+n Cliente heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
mostrar informacin de
usuario cuando se
blo+uee la sesin
?ombre &ara
mostrar del usuario:
dominio 7 nombres
de usuario
no mostrar el Hltimo
nombre de usuario
no re+uerir
*trlUAltU"u&r
te;to del mensa,e &ara
los usuarios +ue intentan
iniciar una sesin
2*onsulte con las
&ersonas
2*onsulte con las
&ersonas
2*onsulte con las
&ersonas
&ertinentes en su
organizacin43
&ertinentes en su
organizacin43
&ertinentes en su
organizacin43
ttulo del mensa,e &ara
los usuarios +ue intentan
iniciar una sesin
2*onsulte con las
&ersonas
&ertinentes en su
organizacin43
2*onsulte con las
&ersonas
&ertinentes en su
organizacin43
2*onsulte con las
&ersonas
&ertinentes en su
organizacin43
nHm4 de inicios de sesin
&revios en la cac$6 2en
caso +ue el controlador
de dominio no est6
dis&onible3
1 0 0
&edir al usuario cambiar
la contraseCa antes de
+ue cadu+ue
1@ das 1@ das 1@ das
re+uerir la autenticacin
del controlador de
dominio &ara
desblo+uear el e+ui&o
necesita una tar,eta
inteligente
com&ortamiento de
e;traccin de tar,eta
inteligente
?o est9 definido
Flo+uear estacin
de traba,o
Flo+uear estacin de
traba,o

7nicio de sesi+n interacti%o: mostrar in'ormaci+n de usuario cuando se $lo*uee la sesi+n
(sta configuracin de directiva determina si el nombre de cuenta del Hltimo usuario
+ue inicia sesin en los e+ui&os cliente de la organizacin se mostrar9 en la &antalla
de inicio de sesin de indo!s corres&ondiente de cada e+ui&o4 "i se $abilita: los
intrusos no &odr9n ver los nombres de cuenta en las &antallas de los e+ui&os de
escritorio o &ort9tiles de la organizacin4
7nicio de sesi+n interacti%o: mostrar in'ormaci+n de usuario cuando se
$lo*uee la sesi+n se configura como 0o est de'inido &ara los entornos 8* 7 (*:
7 como 0om$re para mostrar del usuario) dominio nom$res de usuario en la
directiva de servidor de lnea de base &ara el entorno ""8E4
7nicio de sesi+n interacti%o: no mostrar el Eltimo nom$re de usuario
(sta configuracin de directiva determina si se mostrar9 en la &antalla de inicio de
sesin de indo!s el nombre del Hltimo usuario +ue inici una sesin en el e+ui&o4 "i
se $abilita: no se mostrar9 el nombre del Hltimo usuario +ue inici una sesin en el
cuadro de di9logo 7niciar sesi+n en 2indo3s4
7nicio de sesi+n interacti%o: no mostrar el Eltimo nom$re de usuario se
configura como 8a$ilitado en la directiva de servidor de lnea de base &ara los tres
7nicio de sesi+n interacti%o: no re*uerir CtrlH5ltHSupr
(sta configuracin de directiva determina si un usuario debe &resionar *trlUAltU"u&r
&ara &oder iniciar sesin4 "i se des$abilita: todos los usuarios deber9n &resionar
*trlUAltU"u&r &ara &oder iniciar sesin en indo!s 2a menos +ue utilicen una tar,eta
inteligente &ara el inicio de sesin de indo!s34
7nicio de sesi+n interacti%o: no re*uerir CtrlH5ltHSupr se configura como
4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en
esta gua con el fin de reducir las &robabilidades de +ue un atacante &ueda
interce&tar las contraseCas de los usuarios mediante un &rograma de caballo de
5ro7a4
7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una
sesi+n
(sta configuracin de directiva es&ecifica un mensa,e de te;to +ue le a&arece a los
usuarios cuando inician sesin4 ?ormalmente: este te;to se utiliza con fines legalesD
&or e,em&lo: &ara advertir a los usuarios acerca de las ramificaciones del acceso no
autorizado: el uso incorrecto de informacin em&resarial o +ue es &osible +ue se
va7an a auditar las acciones +ue realicen4
"e recomienda utilizar la configuracin de la o&cin de seguridad 7nicio de sesi+n
interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una
sesi+n4 *onsulte a las &ersonas &ertinentes de su organizacin &ara decidir el
contenido de este te;to4
0ota: tanto 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios
*ue intentan iniciar una sesi+n como 7nicio de sesi+n interacti%o: t/tulo del
mensa:e para los usuarios *ue intentan iniciar una sesi+n deben estar
$abilitadas &ara +ue una u otra funcionen correctamente4
7nicio de sesi+n interacti%o: t/tulo del mensa:e para los usuarios *ue intentan iniciar una
sesi+n
(sta configuracin de directiva &ermite es&ecificar un ttulo en la barra de ttulo del
cuadro de di9logo de inicio de sesin interactivo +ue a&arece cuando los usuarios
inician sesin en el e+ui&o4 8a razn de ser de esta configuracin de directiva es la
misma +ue la de .exto del mensa:e para los usuarios *ue intentan iniciar una
sesi+n4
0or tanto: se recomienda usar la configuracin 7nicio de sesi+n interacti%o: t/tulo
del mensa:e para los usuarios *ue intentan iniciar una sesi+n4 *onsulte a las
&ersonas &ertinentes de su organizacin &ara decidir el contenido de este te;to4
0ota: tanto 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios
*ue intentan iniciar una sesi+n como 7nicio de sesi+n interacti%o: t/tulo del
mensa:e para los usuarios *ue intentan iniciar una sesi+n deben estar
$abilitadas &ara +ue una u otra funcione correctamente4
7nicio de sesi+n interacti%o: nEm. de inicios de sesi+n pre%ios en la cachB (en caso *ue el
controlador de dominio no estB disponi$le)
(sta configuracin de directiva determina si un usuario &uede iniciar sesin en un
dominio de indo!s con informacin de cuenta almacenada en cac$64 8a informacin
de inicio de sesin de las cuentas de dominio se &uede almacenar localmente en
cac$6 de modo +ue si no es &osible &onerse en contacto con un controlador de
dominio en los inicios de sesin siguientes: el usuario &ueda iniciar sesin4 (sta
ca&acidad &uede &ermitir a los usuarios iniciar sesin des&u6s de +ue su cuenta se
$a7a des$abilitado o eliminado: 7a +ue la estacin de traba,o no se &one en contacto
con el controlador de dominio4 (sta configuracin de directiva determina el nHmero
de usuarios Hnicos cu7a informacin de inicio de sesin se almacena localmente en
cac$64 "i se configura como 0: se des$abilita la cac$6 de inicio de sesin4
7nicio de sesi+n interacti%o: nEm. de inicios de sesi+n pre%ios en la cachB
(en caso *ue el controlador de dominio no estB disponi$le) se configura como
@ en la directiva de lnea de base &ara los entornos (* 7 ""8E4 (n el entorno 8*: se
configura como 1 &ara &ermitir el acceso a los clientes legtimos +ue no &uedan
&onerse en contacto con el controlador de dominio4
7nicio de sesi+n interacti%o: pedir al usuario cam$iar la contraseGa antes de *ue cadu*ue
(sta configuracin de directiva determina con cu9ntos das de antelacin se advierte
a los usuarios de +ue sus contraseCas est9n a &unto de caducar4 (n la seccin
JDirectivas de cuentasJ del ca&tulo # se recomienda configurar las contraseCas de
usuario &ara +ue cadu+uen &eridicamente4 "i no se notifica a los usuarios cuando
sus contraseCas est9n a &unto de caducar: es &osible +ue no se den cuenta de ello
$asta +ue $a7an caducado: lo +ue &odra alterar el funcionamiento normal 7 dificultar
a los usuarios locales el cambio de las contraseCas4 *uando las contraseCas caducan
sin +ue el usuario lo es&ere: los usuarios remotos tam&oco &ueden iniciar sesin a
trav6s de cone;iones de redes &rivadas virtuales 2R0?3 o de acceso telefnico4
0or lo tanto: 7nicio de sesi+n interacti%o: pedir al usuario cam$iar la
contraseGa antes de *ue cadu*ue se configura en el valor &redeterminado de 1@
das en la directiva de lnea de base &ara los tres entornos definidos en esta gua4
7nicio de sesi+n interacti%o: re*uerir la autenticaci+n del controlador de dominio para
des$lo*uear el e*uipo
0ara las cuentas de dominio: esta configuracin de directiva determina si es necesario
&onerse en contacto con un controlador de dominio &ara desblo+uear un e+ui&o4 (sta
configuracin de directiva aborda una vulnerabilidad &otencial similar a la de 7nicio
de sesi+n interacti%o: re*uerir la autenticaci+n del controlador de dominio
para des$lo*uear el e*uipo4 Kn usuario &odra desconectar el cable de red del
servidor 7 desblo+uear el servidor con una contraseCa antigua 7 sin autenticacin4
0ara im&edir +ue esto ocurra: 7nicio de sesi+n interacti%o: re*uerir la
autenticaci+n del controlador de dominio para des$lo*uear el e*uipo se
configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos
definidos en esta gua4
7mportante: esta configuracin de directiva es a&licable a los e+ui&os +ue e,ecutan
indo!s 2000: indo!s B0 7 indo!s "erver 200#: &ero no est9 dis&onible
mediante las $erramientas del Administrador de configuracin de seguridad de los
e+ui&os +ue e,ecutan indo!s 20004
7nicio de sesi+n interacti%o: necesita una tar:eta inteligente
(sta configuracin de directiva re+uiere +ue los usuarios inicien sesin en un e+ui&o
con una tar,eta inteligente4 8a seguridad me,ora cuando los usuarios est9n obligados
a usar contraseCas largas 7 com&le,as &ara autenticarse: sobre todo si deben cambiar
sus contraseCas &eridicamente4 (ste enfo+ue reduce la &osibilidad de +ue un
atacante &ueda averiguar la contraseCa de un usuario a trav6s de un ata+ue de
fuerza bruta4 "in embargo: es difcil conseguir +ue los usuarios eli,an una contraseCa
seguraD adem9s: incluso las contraseCas seguras son vulnerables a los ata+ues de
fuerza bruta4
(l uso de tar,etas inteligentes en lugar de contraseCas &ara la autenticacin aumenta
la seguridad de forma mu7 notable: 7a +ue: con la tecnologa actual: es
&r9cticamente im&osible +ue un atacante su&lante a otro usuario4 8as tar,etas
inteligentes +ue &recisan nHmeros de identificacin &ersonal 2?I03 &ro&orcionan una
autenticacin de dos factores: el usuario debe: &or un lado: &oseer la tar,eta
inteligente 7: &or otro: conocer el ?I0 corres&ondiente4 Kn atacante +ue ca&turara el
tr9fico de autenticacin entre el e+ui&o del usuario 7 el controlador de dominio se
encontrara con verdaderas dificultades &ara descifrar el tr9fico 7: aun
consigui6ndolo: la &r;ima vez +ue el usuario iniciara sesin en la red: se generara
una clave de sesin nueva &ara cifrar el tr9fico entre el usuario 7 el controlador de
dominio4
-icrosoft recomienda a las organizaciones migrar a tar,etas inteligentes o a otras
tecnologas de autenticacin firme4 "in embargo: slo es necesario $abilitar 7nicio de
sesi+n interacti%o: necesita una tar:eta inteligente si 7a $a7 im&lementadas
tar,etas inteligentes4 0or este motivo: esta configuracin de directiva se establece en
0o est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (ste
&ar9metro de configuracin de directiva se establece como 4esha$ilitado en la
7nicio de sesi+n interacti%o: comportamiento de extracci+n de tar:eta inteligente
(sta configuracin de directiva determina lo +ue ocurre cuando se +uita la tar,eta
inteligente del lector de tar,etas inteligentes de un usuario +ue $a iniciado sesin4 "i
se configura como &lo*uear estaci+n de tra$a:o: la estacin de traba,o se blo+uea
cuando se +uita la tar,eta inteligente: lo +ue &ermite a los usuarios salir de la zona 7
llevarse las tar,etas inteligentes consigo4 "i se configura como Forzar cierre de
sesi+n: la sesin del usuario se cerrar9 autom9ticamente cuando se +uite la tar,eta
inteligente4
7nicio de sesi+n interacti%o: comportamiento de extracci+n de tar:eta
inteligente se configura como 0o est de'inido en la directiva de lnea de base
&ara el entorno 8* 7 como &lo*uear estaci+n de tra$a:o &ara los entornos (* 7
""8E4
on$iguracin de cliente de redes de +icroso$t
.a$la 4.1= -pciones de seguridad: recomendaciones de con'iguraci+n de
cliente de redes de #icroso't
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
firmar digitalmente las
comunicaciones 2siem&re3
comunicaciones 2si el
servidor lo &ermite3
enviar contraseCa no cifrada
&ara conectar "-F de otros
fabricantes

Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (siempre)
(sta configuracin de directiva determina si el com&onente de cliente "-F re+uiere la
firma de &a+uetes4 "i se $abilita: los clientes de redes de -icrosoft no &odr9n
comunicarse con un servidor de red de -icrosoft salvo +ue dic$o servidor ace&te
realizar la firma de &a+uetes "-F4 (n entornos mi;tos con clientes $eredados: esta
o&cin se debe establecer en 4esha$ilitado: 7a +ue estos clientes no &odr9n
autenticarse en los controladores de dominio ni obtener acceso a dic$os
controladores4 "in embargo: se &uede usar esta o&cin en entornos +ue e,ecuten
indo!s 2000: indo!s B0 7 indo!s "erver 200#4 8os entornos (* 7 ""8E
definidos en esta gua slo contienen e+ui&os +ue e,ecutan estos sistemas o&erativos
7 todos ellos son com&atibles con firmas digitales4
0or tanto: &ara aumentar la seguridad de las comunicaciones entre los e+ui&os de
este entorno: Cliente de redes de #icroso't: 'irmar digitalmente las
comunicaciones (siempre) se configura como 8a$ilitado en la directiva de lnea
de base &ara los entornos (* 7 ""8E4
Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo
permite)
(sta configuracin de directiva determina si el cliente "-F intentar9 negociar las
firmas de &a+uetes "-F4 8a im&lementacin de firmas digitales en redes indo!s
a7uda a im&edir el secuestro de las sesiones4 "i se $abilita: el cliente de redes de
-icrosoft de los servidores miembro solicitar9 firmas slo si los servidores con los +ue
se comunica ace&tan la comunicacin firmada digitalmente4
Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (si el
ser%idor lo permite) se configura como 8a$ilitado en la directiva de lnea de base
Cliente de redes de #icroso't: en%iar contraseGa no ci'rada para conectar S#& de otros
'a$ricantes
"i se $abilita: se &ermitir9 al redirector "-F enviar contraseCas de te;to sin formato
a los servidores "-F +ue no sean de -icrosoft 7 +ue no sean com&atibles con el
cifrado de contraseCas durante la autenticacin4
Cliente de redes de #icroso't: en%iar contraseGa no ci'rada para conectar
S#& de otros 'a$ricantes se configura en el valor &redeterminado 4esha$ilitado
en la directiva de lnea de base &ara los tres entornos definidos en esta gua: salvo
+ue los re+uisitos de la a&licacin anulen la necesidad de mantener secretas las
contraseCas4
on$iguracin de servidor de red +icroso$t
.a$la 4.1> -pciones de seguridad: recomendaciones de con'iguraci+n de
ser%idor de red #icroso't
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
tiem&o de inactividad
re+uerido antes de
sus&ender la sesin
15 minutos 15 minutos 15 minutos
comunicaciones 2siem&re3
comunicaciones 2si el cliente
lo &ermite3
desconectar a los clientes
cuando termine el tiem&o de
sesin

Ser%idor de red de #icroso't: tiempo de inacti%idad re*uerido antes de suspender la sesi+n
(sta configuracin de directiva determina el tiem&o de inactividad continuado +ue
debe transcurrir en una sesin "-F antes de +ue la sesin se sus&enda &or
inactividad4 8os administradores &ueden utilizar esta configuracin de directiva &ara
controlar el momento en el +ue un e+ui&o sus&ende una sesin "-F inactiva4 "i se
reanuda la actividad del cliente: la sesin se restablece autom9ticamente4
Ser%idor de red #icroso't: tiempo de inacti%idad re*uerido antes de
suspender la sesi+n se configura como 19 minutos en la directiva de lnea de base
Ser%idor de red de #icroso't: 'irmar digitalmente las comunicaciones (siempre)
(sta configuracin de directiva determina si el com&onente de servidor "-F re+uiere
la firma de &a+uetes antes de &ermitir cual+uier comunicacin con un cliente "-F4
indo!s 2000 "erver: indo!s 2000 0rofessional: indo!s "erver 200# 7
indo!s B0 0rofessional inclu7en versiones de "-F com&atibles con la autenticacin
mutua: +ue im&iden los intentos de secuestrar sesiones 7 es com&atible con la
autenticacin de mensa,es &ara evitar los ata+ues de ti&o J$ombre en el medioJ4 8a
firma "-F &ro&orciona esta autenticacin colocando una firma digital en cada
&a+uete "-F: +ue &osteriormente com&rueban el cliente 7 el servidor4 "i los e+ui&os
se configuran &ara ignorar todas las comunicaciones "-F sin firmar: las a&licaciones
7 los sistemas o&erativos $eredados no se &odr9n conectar entre s4 "i las firmas
"-F se des$abilitan com&letamente: los e+ui&os son vulnerables a ata+ues +ue
intenten secuestrar sus sesiones de comunicacin4
Ser%idor de red #icroso't: 'irmar digitalmente las comunicaciones (siempre)
se configura como 4esha$ilitado en la directiva de lnea de base &ara el entorno 8*
7 como 8a$ilitado &ara los entornos (* 7 ""8E4
Ser%idor de red de #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo
permite)
(sta configuracin de directiva determina si el servidor "-F negociar9 la firma de
&a+uetes "-F con los clientes +ue lo soliciten4 indo!s 2000 "erver: indo!s 2000
0rofessional: indo!s "erver 200# 7 indo!s B0 0rofessional inclu7en versiones de
"-F com&atibles con la autenticacin mutua: +ue blo+uea los intentos de secuestro
de sesiones 7 es com&atible con la autenticacin de mensa,es &ara evitar los ata+ues
de ti&o J$ombre en el medioJ4 8a firma "-F &ro&orciona esta autenticacin colocando
una firma digital en cada &a+uete "-F: +ue &osteriormente com&rueban el cliente 7
el servidor4 "i los e+ui&os se configuran &ara ignorar todas las comunicaciones "-F
sin firmar: las a&licaciones 7 los sistemas o&erativos $eredados no se &odr9n
conectar entre s4 "i las firmas "-F se des$abilitan com&letamente: los e+ui&os son
vulnerables a ata+ues +ue intenten secuestrar sus sesiones de comunicacin4
Ser%idor de red #icroso't: 'irmar digitalmente las comunicaciones (si el
ser%idor lo permite) se configura como 8a$ilitado en la directiva de lnea de base
Ser%idor de red de #icroso't: desconectar a los clientes cuando termine el tiempo de sesi+n
(sta configuracin de directiva determina si se desconectar9 a los usuarios +ue se
conectan a un e+ui&o de red fuera de las $oras de inicio de sesin v9lidas asignadas
a las cuentas de usuario corres&ondientes4 (sta configuracin de directiva afecta al
com&onente "-F4 "i su organizacin $a configurado las $oras de inicio de sesin de
los usuarios: resulta buena idea $abilitar esta configuracin de directiva4 De lo
contrario: los usuarios no &odr9n tener acceso a los recursos de la red fuera de las
$oras de inicio de sesin +ue les corres&onden o es &osible +ue sigan utilizando los
recursos con sesiones iniciadas durante las $oras &ermitidas4
Ser%idor de red #icroso't: desconectar a los clientes cuando termine el
tiempo de sesi+n se configura como 8a$ilitado en la directiva de lnea de base
on$iguracin de acceso de red
.a$la 4.1? -pciones de seguridad: recomendaciones de con'iguraci+n de
acceso de red
Con'iguraci+n Cliente heredado Cliente de empresa
&ermitir
traduccin
"ID/nombre
annima
no &ermitir
enumeraciones
annimas de
cuentas "A-
Gabilitada Gabilitada
no &ermitir
enumeraciones
annimas de
cuentas 7
recursos
com&artidos
"A-
no &ermitir el
almacenamiento
de credenciales
o 4?(5
0ass&orts &ara
la autenticacin
del dominio
de,a los
&ermisos de
5odos &ara
a&licarse a
usuarios
annimos
Des$abilitado Des$abilitado
canalizaciones
con nombre
accesibles
annimamente
rutas de
registro
accesibles
remotamente
"7stemV*urrent*ontrol"etV*ontrolV0roduct
%&tionsD
"7stemV*urrent*ontrol"etV*ontrolV
"erver A&&licationsD
"oft!areV-icrosoftV
indo!s ?5V*urrent
Rersin
"7stemV*urrent*ontrol"etV*ontrolV0roduct
%&tionsD
"7stemV*urrent*ontrol"etV*ontrolV
"erver A&&licationsD
"oft!areV-icrosoftV
indo!s ?5V*urrent
Rersin
rutas 7 subrutas
de registro
accesibles
remotamente
2consulte la siguiente subseccin &ara ver
la informacin de configuracin3
2consulte la siguiente subseccin &ara ver
la informacin de configuracin3
restringir
acceso annimo
a canalizaciones
con nombre 7
recursos
com&artidos
recursos
com&artidos
accesibles
annimamente
modelo de
seguridad 7
&ara com&artir
&ara cuentas
locales
*l9sico: usuarios locales autenticados
como ellos mismos
*l9sico: usuarios locales autenticados
como ellos mismos

5cceso de red: permitir traducci+n S74Inom$re an+nima
(sta configuracin de directiva determina si un usuario annimo &uede solicitar
atributos "ID &ara otro usuario4 "i est9 $abilitada: un usuario con acceso local &odr9
utilizar el "ID conocido de los administradores &ara obtener el nombre real de la
cuenta de administrador integrada: incluso si se $a cambiado su nombre4 (sa
&ersona &odra entonces utilizar la cuenta &ara iniciar un ata+ue de contraseCa4
5cceso de red: permitir traducci+n S74Inom$re an+nima se configura como 0o
est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (ste
&ar9metro de configuracin de directiva se establece como 4esha$ilitado en la
5cceso a redes: no permitir enumeraciones an+nimas de cuentas S5#
(sta configuracin de directiva determina los &ermisos adicionales +ue se otorgar9n
&ara las cone;iones annimas al e+ui&o4 indo!s &ermite a los usuarios annimos
realizar determinadas actividades: como la enumeracin de los nombres de las
cuentas de dominio4 (sta o&cin resulta Htil: &or e,em&lo: cuando un administrador
desea conceder acceso a usuarios en un dominio de confianza +ue no mantiene una
confianza rec&roca4 "in embargo: aun+ue esta configuracin est6 $abilitada: los
usuarios annimos tendr9n acceso a cual+uier recurso +ue tenga &ermisos +ue
inclu7an de forma e;&lcita el gru&o integrado es&ecial 707C7- 4E SES7J0
50J07#-4
5cceso a redes: no permitir enumeraciones an+nimas de cuentas S5# se
configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos
5cceso a redes: no permitir enumeraciones an+nimas de cuentas recursos compartidos
S5#
(sta configuracin de directiva determina si se &ermite la enumeracin annima de
las cuentas 7 recursos com&artidos "A-4
5cceso a redes: no permitir enumeraciones an+nimas de cuentas recursos
compartidos S5# se configura como 8a$ilitado en la directiva de lnea de base
5cceso a redes: no permitir el almacenamiento de credenciales o .0E. (assports para la
autenticaci+n del dominio
(sta configuracin de directiva determina si las o&ciones de configuracin de
0om$res de usuarios contraseGas almacenados guardar9n las contraseCas:
credenciales o datos de -icrosoft 4?(5 0ass&ort &ara su uso &osterior una vez
lograda la autenticacin en el dominio4
5cceso a redes: no permitir el almacenamiento de credenciales o .0E.
(assports para la autenticaci+n del dominio se configura como 8a$ilitado en la
0ota: los cambios en la configuracin de este &ar9metro de directiva no tendr9n
efecto $asta +ue se reinicie indo!s4
5cceso de red: de:a los permisos de .odos para aplicarse a usuarios an+nimos
(sta configuracin de directiva determina los &ermisos adicionales +ue se otorgan
&ara las cone;iones annimas al e+ui&o4 "i se $abilita: los usuarios annimos de
indo!s &ueden realizar determinadas actividades: como la enumeracin de
nombres de cuentas de dominio 7 recursos com&artidos de red4 Kn usuario no
autorizado &odra obtener de forma annima una lista de los nombres de las cuentas
7 los recursos com&artidos 7 utilizar dic$a informacin &ara intentar adivinar
contraseCas o realizar ata+ues de ingeniera social4
0or lo tanto: 5cceso de red: de:a *ue los permisos de .odos se apli*uen a los
usuarios an+nimos se configura como 4esha$ilitado en la directiva de lnea de
base &ara los tres entornos definidos en esta gua4
0ota: los dominios con esta configuracin de directiva no &odr9n establecer o
mantener confianzas con dominios o controladores de dominio con indo!s ?5 @404
5cceso de red: canalizaciones con nom$re accesi$les an+nimamente
(sta configuracin de directiva determina +u6 sesiones de comunicacin
2canalizaciones con nombre3 tendr9n atributos 7 &ermisos +ue les &ermitan el acceso
annimo4
Debe a&licar los valores &redeterminados de la configuracin 5cceso de red:
canalizaciones con nom$re accesi$les an+nimamente en el entorno ""8E4 8os
valores &redeterminados constan de las siguientes canalizaciones con nombre:
*%-?A0: acceso de sesin de "?A
*%-?%D(: acceso de sesin de "?A
"T8VTK('N: acceso de instancia de "T8
"0%%8"": servicio de cola de im&resin
88"'0*: servicio de registro de licencias
?etlogon: servicio de inicio de sesin de red
8sar&c: acceso de 8"A
"amr: acceso de "A-
e;&lorador: servicio del e;&lorador del e+ui&o
7mportante: si necesita $abilitar esta configuracin de directiva: asegHrese de
agregar solamente las canalizaciones con nombre +ue sean necesarias &ara las
a&licaciones de su entorno4 Al igual +ue sucede con todas las configuraciones
recomendadas en esta gua: esta configuracin de directiva se debe &robar
detenidamente con antelacin en el entorno de &roduccin4
5cceso de red: rutas de <egistro accesi$les remotamente
(sta configuracin de directiva determina las rutas de 'egistro a las +ue se &odr9
obtener acceso a trav6s de la red4
5cceso de red: rutas de <egistro accesi$les remotamente se configura en el
valor &redeterminado en las &lantillas de seguridad de lnea de base &ara los tres
0ota: aun+ue se establezca esta configuracin de directiva: se debe iniciar tambi6n
el servicio del sistema 'egistro remoto si los usuarios autorizados deben tener acceso
al 'egistro a trav6s de la red4
5cceso de red: rutas su$rutas de <egistro accesi$les remotamente
(sta configuracin de directiva determina las rutas 7 subrutas de 'egistro a las +ue
se &odr9 obtener acceso a trav6s de la red4
8os valores &redeterminados de la configuracin 5cceso de red: rutas su$rutas
de <egistro accesi$les remotamente se a&lican mediante las &lantillas de
seguridad de lnea de base &ara los tres entornos definidos en esta gua4 8os valores
&redeterminados constan de las siguientes rutas 7 subrutas:
"7stemV*urrent*ontrol"etV*ontrolV0rintV0rinters
"7stemV*urrent*ontrol"etV"ervicesV(ventlog
"oft!areV-icrosoftV%8A0 "erver
"oft!areV-icrosoftVindo!s ?5V*urrentRersionV0rint
"oft!areV-icrosoftVindo!s ?5V*urrentRersionVindo!s
"7stemV*urrent*ontrol"etV*ontrolV*ontentInde;
"7stemV*urrent*ontrol"etV*ontrolV5erminal "erver
"7stemV*urrent*ontrol"etV*ontrolV5erminal "erverVKser*onfig
"7stemV*urrent*ontrol"etV*ontrolV5erminal "erverVDefaultKser*onfiguration
"oft!areV-icrosoftVindo!s ?5V*urrentRersionV0erflib
"7stemV*urrent*ontrol"etV"ervicesV"7smon8og
5cceso de red: restringir acceso an+nimo a canalizaciones con nom$re recursos
compartidos
(sta configuracin de directiva se &uede utilizar &ara restringir el acceso annimo a
recursos com&artidos 7 canalizaciones con nombre en las configuraciones siguientes:
5cceso de red: canalizaciones con nom$re accesi$les an+nimamente
5cceso de red: recursos compartidos accesi$les an+nimamente
5cceso de red: restringir acceso an+nimo a canalizaciones con nom$re
recursos compartidos se configura en el valor &redeterminado 8a$ilitado en la
5cceso de red: recursos compartidos accesi$les an+nimamente
(sta configuracin de directiva determina los recursos com&artidos de red a los +ue
&odr9n obtener acceso los usuarios annimos4 8a configuracin &redeterminada de
esta o&cin tiene &ocas re&ercusiones: 7a +ue todos los usuarios se deben autenticar
antes de &oder obtener acceso a los recursos com&artidos del servidor4
5cceso de red: recursos compartidos accesi$les an+nimamente se configura
como 0o est de'inido &ara los entornos 8* 7 (* 7 como 0inguno &ara el entorno
""8E4
0ota: esta configuracin de directiva &uede ser mu7 &eligrosa: &or+ue cual+uier
usuario de la red &uede tener acceso a los recursos com&artidos +ue se enumeran4
8os datos confidenciales &odran verse e;&uestos o daCados si se $abilita esta
configuracin de directiva4
5cceso de red: modelo de seguridad para compartir para cuentas locales
(sta configuracin de directiva determina cmo se autentican los inicios de sesin de
red +ue utilizan cuentas locales4 8a configuracin Clsico ofrece un me,or control
sobre el acceso a los recursos 7 &ermite otorgar ti&os de acceso diferentes a distintos
usuarios &ara el mismo recurso4 8a configuracin S+lo in%itado &ermite tratar a
todos los usuarios del mismo modo4 (n este conte;to: todos los usuarios se
autentican como S+lo in%itado &ara +ue tengan el mismo nivel de acceso a un
recurso determinado4
5cceso de red: modelo de seguridad recursos compartidos para cuentas
locales se configura en el valor &redeterminado Clsico en la directiva de lnea de
on$iguracin de seguridad de red
.a$la 4.!@ -pciones de seguridad: recomendaciones de con'iguraci+n de
seguridad de red
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
no almacenar valor de $as$
de 8A? -anager en el
&r;imo cambio de
contraseCa
nivel de autenticacin de
8A? -anager
(nviar slo
res&uesta
?58-v2
(nviar slo
res&uesta
?58-v2
Vrec$azar 8-
(nviar slo res&uesta ?5
8an -anager versin 2
Vrec$azar 8an -anager 7
?5 8an -anager
re+uisitos de firma de
cliente 8DA0
?egociar
firma
?egociar firma ?egociar firma
seguridad mnima de
sesin &ara clientes
basados en ?58- ""0
2inclu7endo '0* seguro3
"in mnimo
Gabilitado
todas las
o&ciones
Gabilitado todas las
o&ciones
seguridad mnima de
sesin &ara servidores
basados en ?58- ""0
2inclu7endo '0* seguro3
"in mnimo
Gabilitado
todas las
o&ciones
Gabilitado todas las
o&ciones

Seguridad de red: no almacenar %alor de hash de L50 #anager en el pr+ximo cam$io de
contraseGa
(sta configuracin de directiva determina si el valor de $as$ de 8A? -anager 28-3
&ara la contraseCa nueva se almacena al cambiar la contraseCa4 (l $as$ de 8- es
relativamente d6bil 7 &ro&enso a ata+ues en com&aracin con el $as$ de
indo!s ?5: m9s seguro desde el &unto de vista cri&togr9fico4
0or este motivo: Seguridad de red: no almacenar %alor de hash de L50
#anager en el pr+ximo cam$io de contraseGa se configura como 8a$ilitado en
la directiva de lnea de base &ara los tres entornos de seguridad definidos en esta
gua4
0ota: &uede +ue los sistemas o&erativos $eredados mu7 antiguos 7 algunas
a&licaciones no funcionen correctamente al $abilitar esta configuracin de directiva4
Asimismo: ser9 necesario cambiar la contraseCa de todas las cuentas tras $abilitarla4
Seguridad de red: ni%el de autenticaci+n de L50 #anager
(sta configuracin de directiva determina +u6 &rotocolo de autenticacin
desafo/res&uesta se utiliza &ara los inicios de sesin de red4 (sta o&cin afecta al
nivel de &rotocolo de autenticacin utilizado &or los e+ui&os cliente: al nivel de
seguridad negociado 7 al nivel de autenticacin ace&tado &or los servidores: tal 7
como se detalla a continuacin4 8os nHmeros de la siguiente tabla son los valores
reales del valor del 'egistro L#Compati$ilitLe%el4
.a$la 4.!1 Con'iguraci+n del %alor del <egistro L#Compati$ilitLe%el
Dalor (rotocolo
0
8os clientes utilizan la autenticacin 8an -anager 7 ?58-: 7 nunca usan la
seguridad de sesin ?58-v24
1
8os clientes utilizan la autenticacin 8an -anager 7 ?58-: as como la
seguridad de sesin ?58-v2 si el servidor la admite4
2
8os clientes utilizan slo la autenticacin ?58- 7 la seguridad de sesin
?58-v2 si el servidor la admite4
#
8os clientes utilizan slo la autenticacin ?58-v2 7 la seguridad de sesin
?58-v2 si el servidor la admite4
@
8os clientes utilizan slo la autenticacin ?58- 7 la seguridad de sesin
?58-v2 si el servidor la admite4 (l controlador de dominio rec$aza la
autenticacin 8an -anager4
5
8os clientes utilizan slo la autenticacin ?58-v2 7 la seguridad de sesin
?58-v2 si el servidor la admite4 (l controlador de dominio rec$aza la
autenticacin 8an -anager 7 ?58- 7 Hnicamente ace&ta ?58-v24

(sta configuracin de directiva se debe establecer con el nivel m9s alto +ue &ermita
el entorno segHn las siguientes instrucciones:
(n un entorno +ue slo inclu7a indo!s ?5 @40 "0@: indo!s 2000 7 indo!s B0
0rofessional: establezca esta configuracin de directiva como En%iar s+lo respuesta
0.L#%!1rechazar L# 0.L# en todos los clientes 7: a continuacin: como En%iar
s+lo respuesta 0.L#%!1rechazar L# 0.L# en todos los servidores una vez
configurados todos los clientes4 8a e;ce&cin a esta recomendacin son los servidores
de enrutamiento 7 acceso remoto de indo!s "erver 200#: +ue no funcionar9n
correctamente si se configura esta o&cin de directiva con un valor su&erior a En%iar
s+lo respuesta 0.L#%!1rechazar L#4
(s &osible +ue el entorno (* deba ser com&atible con servidores de enrutamiento 7
acceso remotoD &or ello: &ara este entorno: Seguridad de red: ni%el de
autenticaci+n de L50 #anager se configura como En%iar s+lo respuesta
0.L#%!1rechazar L# en la directiva de lnea de base4 8os servidores de
enrutamiento 7 acceso remoto no son com&atibles con el entorno ""8E: &or lo +ue
esta configuracin de directiva se configura como En%iar s+lo respuesta 0.L#%!
1rechazar L# 0.L#4
"i e;isten clientes con indo!s >; en los +ue se &uede instalar D"*lient: se debe
configurar como En%iar s+lo respuesta 0.L#%!1rechazar L# 0.L# en los
e+ui&os +ue e,ecuten indo!s ?5 2indo!s ?5: indo!s 2000 7 indo!s B0
0rofessional34 (n caso contrario: se debe de,ar configurada en un valor no su&erior a
En%iar s+lo respuesta 0.L#%! en la directiva de lnea de base &ara los e+ui&os
+ue no e,ecuten indo!s >;: +ue es la configuracin &ara el entorno 8*4
"i detecta +ue $a7 a&licaciones +ue dan error cuando se $abilita esta configuracin
de directiva: des$aga el &rocedimiento realizado &aso a &aso &ara descubrir dnde
est9 el error4 *omo mnimo: esta configuracin de directiva se debe establecer en
En%iar Lan #anager 0. Lan #anager: usar la seguridad de sesi+n 0. Lan
#anager %ersi+n ! si se negocia en la directiva de lnea de base en todos los
e+ui&os4 ?ormalmente: se &uede configurar como En%iar s+lo respuesta 0.L#%!
en todos los e+ui&os del entorno4
Seguridad de red: re*uisitos de 'irma de cliente L45(
(sta configuracin de directiva determina el nivel de firma de datos +ue se solicita en
nombre de los clientes +ue emiten solicitudes FI?D de 8DA04 (l tr9fico de red sin
firmar es susce&tible de sufrir ata+ues de ti&o J$ombre en el medioJ4 (n el caso de
un servidor 8DA0: un atacante &odra $acer +ue un cliente tomara decisiones en
funcin de consultas falsas del cliente 8DA04
0or lo tanto: Seguridad de red: re*uisitos de 'irma de cliente L45( se configura
como 0egociar 'irma en la directiva de lnea de base &ara los tres entornos
Seguridad de red: seguridad m/nima de sesi+n para clientes $asados en 0.L# SS(
(incluendo <(C seguro)
(sta configuracin de directiva &ermite a un cliente solicitar la negociacin de
confidencialidad de mensa,e 2cifrado3: firma de mensa,e: cifrado de 12A bits o
seguridad de sesin ?58- versin 2 2?58-v234 (stablezca esta configuracin de
directiva en un nivel de seguridad tan alto como sea &osible: &ero recuerde +ue
todava necesitar9 &ermitir el funcionamiento de las a&licaciones en la red4 Kna
configuracin a&ro&iada en esta o&cin de directiva a7udar9 a asegurar +ue el tr9fico
de red desde los servidores basados en ""0 de ?58- est6 &rotegido de los ata+ues
de ti&o J$ombre en el medioJ 7 de la e;&osicin de los datos4
Seguridad de red: seguridad m/nima de sesi+n para clientes $asados en
0.L# SS( (incluendo <(C seguro) se configura como Sin m/nimo en la
directiva de lnea de base &ara el entorno 8*4 5oda configuracin se $abilita &ara los
entornos (* 7 ""8E4
Seguridad de red: seguridad m/nima de sesi+n para ser%idores $asados en 0.L# SS(
(incluendo <(C seguro)
(sta configuracin de directiva &ermite a un servidor solicitar la negociacin de
confidencialidad de mensa,e 2cifrado3: integridad de mensa,e: cifrado de 12A bits o
seguridad de sesin ?58-v24 (stablezca esta configuracin de directiva en un nivel
de seguridad tan alto como sea &osible: &ero recuerde +ue todava necesitar9
&ermitir el funcionamiento de las a&licaciones en la red4 Al igual +ue en el caso de la
configuracin de directiva anterior: una configuracin a&ro&iada de esta o&cin de
directiva a7udar9 a asegurar +ue el tr9fico de red desde los clientes basados en ""0
de ?58- est6 &rotegido de los ata+ues de ti&o J$ombre en el medioJ 7 de la
e;&osicin de los datos4
Seguridad de red: seguridad m/nima de sesi+n para ser%idores $asados en
0.L# SS( (incluendo <(C seguro) se configura como Sin m/nimo en la
directiva de lnea de base &ara el entorno 8*4 5oda configuracin se $abilita &ara los
entornos (* 7 ""8E4
on$iguracin de onsola de recuperacin
.a$la 4.!! -pciones de seguridad: recomendaciones de con'iguraci+n de
Consola de recuperaci+n
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
&ermitir el inicio de sesin
administrativo autom9tico
&ermitir la co&ia de
dis+uetes 7 el acceso a todas
las unidades 7 car&etas
Gabilitada Gabilitada Des$abilitado

Consola de recuperaci+n: permitir el inicio de sesi+n administrati%o automtico
(sta configuracin de directiva determina si la contraseCa de la cuenta de
administrador se debe &ro&orcionar antes de +ue se conceda el acceso al e+ui&o4 "i
se $abilita: la *onsola de recu&eracin no re+uiere +ue se es&ecifi+ue una contraseCa
e inicia autom9ticamente la sesin en el e+ui&o4 8a *onsola de recu&eracin &uede
ser mu7 Htil cuando es necesario traba,ar con e+ui&os +ue tienen &roblemas de inicio4
?o obstante: $abilitar esta configuracin &uede ser &er,udicial &or+ue cual+uier
&ersona &uede acercarse al servidor: desconectarlo de la alimentacin el6ctrica &ara
a&agarlo: reiniciarlo: seleccionar Consola de recuperaci+n en el menH <einiciar 7
asumir &leno control del servidor4
0or lo tanto: Consola de recuperaci+n: permitir el inicio de sesi+n
administrati%o automtico se configura en el valor &redeterminado 4esha$ilitado
en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ara
utilizar la *onsola de recu&eracin cuando esta o&cin est6 des$abilitada: el usuario
deber9 introducir un nombre de usuario 7 una contraseCa &ara obtener acceso a la
cuenta de la *onsola de recu&eracin4
Consola de recuperaci+n: permitir la copia de dis*uetes el acceso a todas las unidades
carpetas
0uede $abilitar esta configuracin de directiva &ara +ue est6 dis&onible el comando
SE. de la *onsola de recu&eracin: +ue &ermite establecer las siguientes variables de
entorno de la *onsola de recu&eracin:
5llo32ildCards: $abilita la com&atibilidad con comodines &ara algunos
comandos 2como el comando D(834
5llo35ll(aths: &ermite el acceso a todos los arc$ivos 7 car&etas del e+ui&o4
5llo3<emo%a$le#edia: &ermite la co&ia de arc$ivos en medios e;trables:
como un dis+uete4
0oCop(rompt: no se solicita confirmacin al sobrescribir un arc$ivo
e;istente4
0ara una seguridad m9;ima: Consola de recuperaci+n: permitir la copia de
dis*uetes el acceso a todas las unidades carpetas se configura como
4esha$ilitado en la directiva de lnea de base &ara el entorno ""8E4 "in embargo:
esta configuracin de directiva se establece como 8a$ilitada &ara los entornos 8* 7
(*4
on$iguracin de apagado
.a$la 4.!6 -pciones de seguridad: recomendaciones de con'iguraci+n de
apagado
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
&ermitir a&agar el sistema
sin tener +ue iniciar
sesin
borrar el arc$ivo de
&9ginas de la memoria
virtual

5pagado: permitir apagar el sistema sin tener *ue iniciar sesi+n
(sta configuracin de directiva determina si un usuario +ue no es necesario +ue inicie
sesin en el sistema o&erativo indo!s &uede a&agar un e+ui&o4 8os usuarios +ue
&ueden obtener acceso a la consola &ueden a&agar el sistema4 Kn atacante o usuario
con malas intenciones &odra conectarse al servidor mediante "ervicios de 5erminal
"erver 7 a&agarlo o reiniciarlo sin necesidad de identificarse4
0or lo tanto: 5pagado: permitir apagar el sistema sin tener *ue iniciar sesi+n
se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de
5pagado: $orrar el archi%o de paginaci+n de la memoria %irtual
(sta configuracin de directiva determina si el arc$ivo de &aginacin de memoria
virtual se borra cuando se a&aga el e+ui&o4 "i est9 $abilitada: el arc$ivo de
&aginacin del sistema se borra cada vez +ue el e+ui&o se a&aga debidamente4 "i se
$abilita esta configuracin de directiva: el arc$ivo de $ibernacin 2Giberfil4s7s3 se
borra tambi6n cuando se des$abilita la $ibernacin en un e+ui&o &ort9til4 A&agar 7
reiniciar el servidor llevar9 m9s tiem&o 7 se notar9 es&ecialmente en los servidores
+ue tengan arc$ivos de &aginacin m9s grandes4
0or estas razones: 5pagado: $orrar el archi%o de paginaci+n de la memoria
%irtual se configura como 8a$ilitado en los tres entornos definidos en esta gua4
0ota: un atacante +ue tenga acceso fsico al servidor &odra sim&lemente
desconectar el servidor de la fuente de alimentacin &ara &asar &or alto esta
contramedida4
on$iguracin de la criptogra$'a de sistema
criptogra'/a de sistema
Con'iguraci+n Cliente heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
forzar la &roteccin de
clave segura &ara las
claves de usuario
almacenadas en el
e+ui&o
"e &reguntar9 al
usuario cuando se
use la clave &or
&rimera vez
"e &reguntar9 al
usuario cuando se
use la clave &or
&rimera vez
(l usuario debe
introducir una
contraseCa cada vez
+ue use una clave
usar algoritmos +ue
cum&lan la norma EI0"
&ara cifrado: firma 7
o&eraciones $as$
Des$abilitado Des$abilitado Gabilitada

Criptogra'/a de sistema: esta$lece una protecci+n 'uerte de cla%e para las a*uellas cla%es
del usuario en el e*uipo
(sta configuracin de directiva determina si las claves &rivadas de los usuarios: como
las claves "I-I-(: re+uieren una contraseCa &ara &oder utilizarse4 "i se configura
&ara +ue los usuarios deban &ro&orcionar una contraseCa 2distinta de su contraseCa
de dominio3 cada vez +ue utilicen una clave: ser9 m9s difcil +ue un atacante tenga
acceso a las claves de usuario almacenadas localmente: incluso si 6ste descubre las
contraseCas de inicio de sesin4
0ara satisfacer los re+uisitos de funcionalidad de los entornos 8* 7 (*: Criptogra'/a
de sistema: esta$lece una protecci+n 'uerte de cla%e para las a*uellas cla%es
del usuario en el e*uipo se configura como Se preguntar al usuario cuando se
use la cla%e por primera %ez en la directiva de lnea de base4 0ara &ro&orcionar
una seguridad adicional: esta configuracin de directiva se establece en El usuario
de$e introducir una contraseGa cada %ez *ue use una cla%e &ara el entorno
""8E4
Criptogra'/a de sistema: usar algoritmos *ue cumplan la norma F7(S para ci'rado) 'irma
operaciones hash
(sta configuracin de directiva determina si el &roveedor de seguridad de 5rans&ort
8a7er "ecurit7/"ecure "oc1ets 8a7er 258"/""83 es com&atible slo con el con,unto
cifrado 58"O'"AOI5GO#D("O(D(O*F*O"GA4 Aun+ue esta configuracin de
directiva aumente la seguridad: la ma7ora de los sitios !eb &Hblicos &rotegidos con
58" o ""8 no son com&atibles con estos algoritmos4 -uc$os e+ui&os cliente tam&oco
est9n configurados &ara ofrecer com&atibilidad con estos algoritmos4
0or estas razones: Criptogra'/a de sistema: usar algoritmos *ue cumplan la
norma F7(S para ci'rado) 'irma operaciones hash se configura como
4esha$ilitado en la directiva de lnea de base &ara los entornos 8* 7 (*4 (sta
configuracin de directiva se establece como 8a$ilitado &ara el entorno ""8E4
on$iguracin de objetos de sistema
o$:etos de sistema
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
&ro&ietario &redeterminado &ara
ob,etos creados &or miembros del
gru&o de administradores
*reador de
ob,etos
*reador de
ob,etos
*reador de ob,etos
re+uerir diferenciacin de
ma7Hsculas 7 minHsculas &ara
subsistemas no basados en
indo!s
reforzar los &ermisos
&redeterminados de los ob,etos
internos del sistema 2&4 e,4:
vnculos simblicos3

-$:etos de sistema: propietario predeterminado para o$:etos creados por miem$ros del
grupo de administradores
(sta configuracin de directiva determina si el gru&o 5dministradores o un creador
de ob,etos es el &ro&ietario &redeterminado de cual+uier ob,eto de sistema +ue se
$a7a creado4 *uando se crean ob,etos de sistema: la &ro&iedad de 6stos indicar9 +u6
cuenta los $a creado: en lugar del gru&o 5dministradores: +ue es m9s gen6rico4
-$:etos de sistema: propietario predeterminado para o$:etos creados por
miem$ros del grupo de administradores se configura como Creador de o$:etos
-$:etos de sistema: re*uerir di'erenciaci+n de maEsculas minEsculas para su$sistemas
no $asados en 2indo3s
(sta configuracin de directiva determina si no se a&lica diferenciacin de ma7Hsculas
7 minHsculas en todos los subsistemas4 (l subsistema -icrosoft in#2. no distingue
ma7Hsculas de minHsculas4 ?o obstante: el nHcleo admite la distincin de ma7Hsculas
7 minHsculas &ara otros subsistemas: como la Interfaz de sistema o&erativo &ort9til
de K?IB 20%"IB34 Dado +ue indo!s no distingue ma7Hsculas de minHsculas 7 +ue
el subsistema 0%"IB es com&atible con esta caracterstica: si no se a&lica esta
configuracin es &osible +ue un usuario del subsistema 0%"IB cree un arc$ivo con el
mismo nombre +ue otro si utiliza ma7Hsculas 7 minHsculas en el nombre4 (sto &odra
blo+uear el acceso de otro usuario a estos arc$ivos con $erramientas normales de
in#2: &or+ue slo estara dis&onible uno de esos arc$ivos4
0ara garantizar la co$erencia de los nombres de arc$ivo: -$:etos de sistema:
re*uerir di'erenciaci+n de maEsculas minEsculas para su$sistemas no
$asados en 2indo3s se configura como 8a$ilitado en la directiva de lnea de
-$:etos de sistema: re'orzar los permisos predeterminados de los o$:etos internos del
sistema (p. e:. %/nculos sim$+licos)
(sta configuracin de directiva determina la seguridad de la lista de control de acceso
discrecional 2DA*83 &redeterminada &ara los ob,etos 7 a7uda a &roteger los ob,etos
+ue &ueden ser localizados 7 com&artidos entre &rocesos4 0ara reforzar la seguridad
de la lista DA*8: se &uede usar el valor &redeterminado 8a$ilitado: +ue &ermite a
los usuarios +ue no son administradores leer ob,etos com&artidos: &ero no modificar
ninguno +ue no $a7an creado4
-$:etos de sistema: re'orzar los permisos predeterminados de los o$:etos
internos del sistema (p. e:. %/nculos sim$+licos) se configura en el valor
&redeterminado 8a$ilitado en la directiva de lnea de base &ara los tres entornos
on$iguracin del sistema
.a$la 4.!; -pciones de seguridad: recomendaciones de con'iguraci+n del
sistema
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
Funcionalidad
limitada
*onfiguracin del sistema:
"ubsistemas o&cionales
?inguno ?inguno ?inguno
*onfiguracin del sistema: usar
reglas de certificado en arc$ivos
e,ecutables de indo!s &ara
directivas de restriccin de
soft!are
?o est9
definido
Des$abilitado Gabilitada

Con'iguraci+n del sistema: Su$sistemas opcionales
(sta configuracin de directiva determina los subsistemas +ue se utilizar9n &ara
ofrecer com&atibilidad con las a&licaciones del entorno4 (l valor &redeterminado de
esta configuracin de directiva en indo!s "erver 200# es (-S7K4
0ara des$abilitar el subsistema 0%"IB: Con'iguraci+n del sistema: Su$sistemas
opcionales se configura como 0inguno en la directiva de lnea de base &ara los tres
Con'iguraci+n del sistema: usar reglas de certi'icado en archi%os e:ecuta$les de 2indo3s
para directi%as de restricci+n de so't3are
(sta configuracin de directiva determina si se &rocesan los certificados digitales
cuando se $abilitan las directivas de restriccin de soft!are 7 un usuario o &roceso
intenta e,ecutar soft!are con una e;tensin de nombre de arc$ivo 4e;e4 Gabilita o
des$abilita las reglas de certificado 2un ti&o de regla de directivas de restriccin de
soft!are34 *on las directivas de restriccin de soft!are: se &uede crear una regla de
certificado +ue &ermita o im&ida la e,ecucin de soft!are firmado con
Aut$enticode.: segHn el certificado digital asociado al soft!are4 0ara +ue las reglas
de certificado surtan efecto en las directivas de restriccin de soft!are: se debe
$abilitar esta configuracin de directiva4
Con'iguraci+n del sistema: usar reglas de certi'icado en archi%os e:ecuta$les
de 2indo3s para directi%as de restricci+n de so't3are se configura como
8a$ilitado en el entorno ""8E4 "in embargo: se configura como 4esha$ilitado en
el entorno (* 7 como 0o est de'inido en el entorno 8* debido a la &osible
re&ercusin sobre el rendimiento4
$egistro de eventos
(l registro de eventos registra los eventos del e+ui&o: 7 el registro de seguridad: los
eventos de auditora4 (l contenedor del registro de eventos de la directiva de gru&o
se utiliza &ara definir los atributos de los registros de eventos de a&licacin:
seguridad 7 sistemaD &or e,em&lo: el tamaCo m9;imo del registro: los derec$os de
acceso &ara cada registro: 7 la configuracin 7 los m6todos de retencin4 8as
configuraciones de los registros de eventos de a&licacin: seguridad 7 sistema se
establecen en la directiva -"F0 7 se a&lican a todos los servidores miembro del
dominio4
0uede establecer la configuracin del registro de eventos en indo!s "erver 200#
con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o:
seguridad1<egistro de e%entos
(n esta seccin se &ro&orcionan detalles sobre la configuracin recomendada &ara los
registros de eventos en la directiva -"F0 &ara los tres entornos definidos en esta
gua4 0ara obtener un resumen de las configuraciones recomendadas en esta seccin:
consulte el libro de -icrosoft (;cel Jindo!s "erver 200# "ecurit7 )uide "ettingsJ:
+ue est9 dis&onible en la versin descargable de esta gua4 0ara obtener informacin
acerca de la configuracin &redeterminada 7 una e;&licacin detallada sobre cada
una de las configuraciones descritas en este ca&tulo: consulte la gua
com&lementaria Amenazas y contramedidas: configuracin de seguridad en
Windows Server 2003 y Windows XP: +ue est9 dis&onible en
$tt&://go4microsoft4com/f!lin1/<8in1Id=1515>
1
4
8a tabla siguiente inclu7e recomendaciones de configuracin del registro de eventos
&ara los tres entornos definidos en esta gua4 8a informacin adicional de cada
configuracin se &ro&orciona en las subsecciones +ue se muestran des&u6s de la
tabla4
.a$la 4.!= <ecomendaciones de con'iguraci+n del registro de e%entos
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Seguridad
especializada:
5amaCo m9;imo del registro de
la a&licacin
1L4#A@ MF 1L4#A@ MF 1L4#A@ MF
5amaCo m9;imo del registro de
seguridad
A14>20 MF A14>20 MF A14>20 MF
5amaCo m9;imo del registro del
sistema
1L4#A@ MF 1L4#A@ MF 1L4#A@ MF
(vitar +ue el gru&o de invitados
locales tenga acceso al registro
de a&licaciones
de seguridad
del sistema
-6todo de retencin del registro
de la a&licacin
"egHn se
necesite
"egHn se
necesite
"egHn se necesite
de seguridad
"egHn se
necesite
"egHn se
necesite
"egHn se necesite
del sistema
"egHn se
necesite
"egHn se
necesite
"egHn se necesite

Tama/o m)0imo del registro de la aplicacin
(sta configuracin de directiva es&ecifica el tamaCo m9;imo del registro de eventos
de a&licacin: +ue tiene una ca&acidad m9;ima de @ )F4 "in embargo: no se
recomienda este tamaCo a causa del riesgo de fragmentacin de memoria: +ue
&rovoca una &6rdida de rendimiento 7 errores en el registro de eventos4 8os
re+uisitos de tamaCo del registro de a&licacin varan en funcin de la &lataforma 7 la
necesidad de dis&oner de registros $istricos de eventos relacionados con
a&licaciones4
.amaGo mximo del registro de la aplicaci+n se configura en el valor
&redeterminado 1;.6>4 L& en la directiva de lnea de base &ara los tres entornos
Tama/o m)0imo del registro de seguridad
de seguridad: +ue tiene una ca&acidad m9;ima de @ )F4 Debe configurar el registro
de seguridad con un mnimo de A0 -F en los controladores de dominio 7 servidores
inde&endientes: ca&acidad +ue debera ser suficiente &ara almacenar la informacin
&ara realizar auditoras4 (l modo de establecer esta configuracin de directiva &ara
otros e+ui&os de&ender9 de factores como la frecuencia con +ue se revisar9 el
registro: el es&acio dis&onible en el disco: etc4
.amaGo mximo del registro de seguridad se configura como >1.?!@ L& en la
Tama/o m)0imo del registro del sistema
del sistema: +ue tiene una ca&acidad m9;ima de @ )F4 "in embargo: no se
recomienda este tamaCo a causa del riesgo de fragmentacin de memoria: +ue
&rovoca una &6rdida de rendimiento 7 errores en el registro de eventos4 8os
re+uisitos de tamaCo del registro de sistema varan en funcin de la &lataforma 7 la
necesidad de dis&oner de registros $istricos4
.amaGo mximo del registro del sistema se configura en el valor &redeterminado
1;.6>4 L& en la directiva de lnea de base &ara los tres entornos definidos en esta
gua4
1vitar que el grupo de invitados locales tenga acceso al registro de aplicaciones
(sta configuracin de directiva determina si a los invitados se les deniega el acceso al
registro de eventos de a&licacin4 De forma &redeterminada: en
indo!s "erver 200# con "01 los invitados tienen &ro$ibido el acceso a todos los
e+ui&os4 0or lo tanto: esta configuracin de directiva no tiene efecto real en e+ui&os
con configuraciones &redeterminadas4
"in embargo: como esta configuracin se considera una medida de defensa
e;$austiva +ue no tiene efectos secundarios: E%itar *ue el grupo de in%itados
locales tenga acceso al registro de aplicaciones se configura como 8a$ilitado
0ota: esta configuracin no a&arece en el ob,eto Directiva de e+ui&o local4
1vitar que el grupo de invitados locales tenga acceso al registro de seguridad
registro de eventos de seguridad4 Kn usuario debe tener asignado el derec$o de
usuario 5dministrar registros de auditor/a de seguridad 2no se define en esta
gua3 &ara obtener acceso al registro de seguridad4 0or lo tanto: esta configuracin de
directiva no tiene efecto real en e+ui&os con configuraciones &redeterminadas4
locales tenga acceso al registro de seguridad se configura como 8a$ilitado en
la directiva de lnea de base &ara los tres entornos definidos en esta gua4
1vitar que el grupo de invitados locales tenga acceso al registro del sistema
registro de eventos del sistema4 De forma &redeterminada: en indo!s "erver 200#
con "01 los invitados tienen &ro$ibido el acceso a todos los e+ui&os4 0or lo tanto:
esta configuracin de directiva no tiene efecto real en e+ui&os con configuraciones
&redeterminadas4
locales tenga acceso al registro del sistema se configura como 8a$ilitado en la
+todo de retencin del registro de la aplicacin
(sta configuracin de directiva determina el m6todo de Ja,usteJ del registro de
a&licacin4 (s de gran im&ortancia +ue el registro de a&licacin se arc$ive
regularmente si se necesita dis&oner de eventos $istricos con fines de
argumentacin 7 solucin de &roblemas4 "i se sobrescriben los eventos segHn se
necesiten: el registro siem&re almacenar9 los eventos m9s recientes: aun+ue esta
configuracin &ueda tener como resultado una &6rdida de datos $istricos4
#Btodo de retenci+n del registro de la aplicaci+n se configura como SegEn se
necesite en la directiva de lnea de base &ara los tres entornos definidos en esta
gua4
+todo de retencin del registro de seguridad
(sta configuracin de directiva determina el m6todo de Ja,usteJ del registro de
seguridad4 (s de gran im&ortancia +ue el registro de seguridad se arc$ive
regularmente si se necesita dis&oner de eventos $istricos con fines de
argumentacin 7 solucin de &roblemas4 "i se sobrescriben los eventos segHn se
necesiten: el registro siem&re almacenar9 los eventos m9s recientes: aun+ue esta
configuracin &ueda tener como resultado una &6rdida de datos $istricos4
#Btodo de retenci+n del registro de seguridad se configura como SegEn se
gua4
+todo de retencin del registro del sistema
(sta configuracin de directiva determina el m6todo de Ja,usteJ del registro del
sistema4 (s de gran im&ortancia +ue los registros se arc$iven regularmente si se
necesita dis&oner de eventos $istricos con fines de argumentacin 7 solucin de
&roblemas4 "i se sobrescriben los eventos segHn se necesiten: el registro siem&re
almacenar9 los eventos m9s recientes: aun+ue esta configuracin &ueda tener como
resultado una &6rdida de datos $istricos4
#Btodo de retenci+n del registro del sistema se configura como SegEn se
gua4
%ntradas de registro adicionales
"e $an creado entradas del 'egistro 2tambi6n conocidas como valores del egistro3
adicionales &ara los arc$ivos de &lantilla de seguridad de lnea de base +ue no se
definen en el arc$ivo de la &lantilla administrativa 24adm3 &redeterminada &ara los
tres entornos de seguridad definidos en esta gua4 (n los arc$ivos 4adm se definen las
directivas 7 restricciones del escritorio: del s$ell 7 de la seguridad &ara
indo!s "erver 200#4
(stas entradas del 'egistro se inclu7en en las &lantillas de seguridad 2en la seccin
J%&ciones de seguridadJ3 &ara automatizar las modificaciones4 "i se +uita la
directiva: no se +uitar9n autom9ticamente estas entradas del 'egistroD 6stas se
deben modificar manualmente mediante una $erramienta de edicin del 'egistro
como 'egedt#24e;e4 "e a&lican las mismas entradas del 'egistro a los tres entornos4
(n esta gua se inclu7en entradas del 'egistro adicionales +ue se agregan al (ditor de
configuracin de seguridad 2"*(34 0ara agregar estas entradas del 'egistro: es
necesario modificar el arc$ivo "ceregvl4Inf 2dis&onible en la car&eta M3indirM1in'3
7 volver a registrar el arc$ivo "cecli4dll4 8as entradas de seguridad originales: as
como las adicionales: se encuentran en 4irecti%as locales1Seguridad en los
com&lementos 7 las $erramientas +ue se $an indicado &reviamente en este ca&tulo4
(s necesario actualizar el arc$ivo "ceregvl4inf 7 registrar el arc$ivo"cecli4dll de nuevo
en los e+ui&os en los +ue se va7an a editar las &lantillas de seguridad 7 las directivas
de gru&o +ue se facilitan con esta gua4 Ga7 dis&onible m9s informacin acerca de
cmo actualizar estos arc$ivos en la gua com&lementaria: Amenazas y
1
:
1
4
(sta seccin slo constitu7e un resumen de las entradas adicionales del 'egistro +ue
se describen m9s detalladamente en la gua com&lementaria4 0ara obtener m9s
informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de
las configuraciones descritas en esta seccin: consulte la gua com&lementaria
Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y
Windows XP4
onsideracin de seguridad sobre los ataques en red
8os ata+ues &or denegacin de servicio 2Do"3 son ata+ues de red +ue intentan $acer
+ue un e+ui&o o servicio determinado de un e+ui&o no se encuentre dis&onible &ara
los usuarios de la red4 8os ata+ues de denegacin de servicio 2Do"3 son difciles de
combatir4
0ara &revenirlos: sera recomendable mantener el e+ui&o actualizado con las Hltimas
correcciones de seguridad 7 reforzar la seguridad de la &ila del &rotocolo 5*0/I0 en
a+uellos e+ui&os en los +ue se e,ecute indo!s "erver 200# con "01 7 +ue est6n
e;&uestos a &osibles atacantes4 8a configuracin &redeterminada de la &ila 5*0/I0 se
o&timiza &ara el control del tr9fico de la intranet est9ndar4 (n el caso de +ue se
conecte un e+ui&o directamente a Internet: -icrosoft recomienda la consolidacin de
la &ila 5*0/I0 frente a los ata+ues &or servicio denegado 2Do"34
0uede agregar los valores del 'egistro de la siguiente tabla al arc$ivo de &lantilla en
la subclave
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1.cpip1(arame
ters1
subclave4
.a$la 4.!> <ecomendaciones so$re las entradas del <egistro de .C(I7(
Entrada del <egistro Formato
Cliente
heredado
Cliente
de
empresa
Seguridad
especializada:
Funcionalidad
limitada
(nableI*-0'edirect D%'D 0 0 0
"7nAttac10rotect D%'D 1 1 1
(nableDead)Detect D%'D 0 0 0
Mee&Alive5ime D%'D #004000 #004000 #004000
DisableI0"ource'outing D%'D 2 2 2
5c&-a;*onnect'es&onse'etransmissions D%'D 2 2 2
5c&-a;Data'etransmissions D%'D # # #
0erform'outerDiscover7 D%'D 0 0 0

Otras entradas del Registro
8a siguiente tabla inclu7e otras entradas del 'egistro recomendadas +ue no son
es&ecficas de 5*0/I04 8a informacin adicional sobre cada entrada se &ro&orciona en
las subsecciones +ue se inclu7en des&u6s de la tabla4
.a$la 4.!? <ecomendaciones so$re otras entradas del <egistro
Entrada del <egistro Formato
Cliente
heredado
Cliente
de
empresa
Seguridad
especializada:
Funcionalidad
limitada
-"": 2?o?ame'elease%nDemand3
Allo! t$e com&uter to ignore
?etFI%" name release re+uests
e;ce&t from I?" servers
D%'D 1 1 1
-"":
2?tfsDisableAdot#?ame*reation3
(nable t$e com&uter to sto&
generating A4# st7le filenames
2recommended3
D%'D 0 0 1
-"": 2?oDrive57&eAuto'un3
Disable Autorun for all drives
2recommended3
D%'D 0;EE 0;EE 0;EE
-"": 2"creen"aver)race0eriod3 5$e
time in seconds before t$e screen
saver grace &eriod e;&ires 20
recommended3
*adena 0 0 0
-"": 2arning8evel3 0ercentage
t$res$old for t$e securit7 event log
at !$ic$ t$e s7stem !ill generate a
!arning
D%'D >0 >0 >0
-"": 2"afeDll"earc$-ode3 (nable
"afe D88 searc$ mode
2recommended3
D%'D 1 1 1
-"": 2Auto'eboot3 Allo! indo!s
to automaticall7 restart after a
s7stem cras$ 2recommended e;ce&t
for $ig$l7 secure environments3
D%'D 1 1 0
-"": 2AutoAdmin8ogon3 (nable
Automatic 8ogon 2not
recommended3
D%'D 0 0 0
-"": 2Auto"$are1s3 (nable
Administrative "$ares
2recommended e;ce&t for $ig$l7
secure environments3
D%'D 1 1 0
-"": 2Disable"ave0ass!ord3
0revent t$e dialIu& &ass!ord from
being saved 2recommended3
D%'D 1 1 1
-"": 2?oDefault(;em&t3 (nable
?oDefault(;em&t for I0"ec Eiltering
2recommended3
D%'D # # #

Con'igure 0et&7-S 0ame <elease Securit: 5llo3 the computer to ignore 0et&7-S name
release re*uests except 'rom 270S ser%ers
(sta entrada a&arece como #SS: (0o0ame<elease-n4emand) 5llo3 the
computer to ignore 0et&7-S name release re*uests except 'rom 270S
ser%ers en "*(4
?etFI%" sobre 5*0/I0 es un &rotocolo de red +ue: entre otras cosas: &ro&orciona una
forma de resolver f9cilmente los nombres ?etFI%" registrados en e+ui&os basados en
indo!s en las direcciones I0 configuradas en los mismos4 (ste valor determina si el
e+ui&o libera su nombre ?etFI%" al recibir una solicitud de liberacin de nombre4
0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices10et$t1(arame
ters1
subclave4
4isa$le 5uto Aeneration o' >.6 File 0ames: Ena$le the computer to stop generating >.6 stle
'ilenames
(sta entrada a&arece como #SS: (0t's4isa$le>dot60ameCreation) Ena$le the
computer to stop generating >.6 stle 'ilenames (recommended) en "*(4
indo!s "erver 200# con "01 es com&atible con los formatos de nombre de arc$ivo
A4# &ara la com&atibilidad con a&licaciones de 1L bits anteriores4 8a convencin del
nombre de arc$ivo A4# es un formato de nombre +ue slo &ermite nombres de
arc$ivo con una longitud m9;ima de oc$o caracteres4
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Control1FileSstem1
subclave4
4isa$le 5utorun: 4isa$le 5utorun 'or all dri%es
(sta entrada del 'egistro a&arece como #SS: (0o4ri%e.pe5uto<un) 4isa$le
5utorun 'or all dri%es (recommended) en "*(4
8a e,ecucin autom9tica em&ieza a leer la informacin de una unidad del e+ui&o tan
&ronto como se insertan los medios4 *omo resultado: elementos como el arc$ivo de
instalacin 2en el caso de &rogramas3 o el sonido 2en el caso de contenido de audio3
se inician inmediatamente4
8LENOL-C5LO#5C870E1S-F.25<E1#icroso't12indo3s1CurrentDersion1(o
licies1Explorer1
subclave4
#aCe Screensa%er (ass3ord (rotection 7mmediate: .he time in seconds $e'ore the screen
sa%er grace period expires (@ recommended)
(sta entrada a&arece como #SS: (ScreenSa%erArace(eriod) .he time in
seconds $e'ore the screen sa%er grace period expires (@ recommended) en
"*(4
indo!s inclu7e un &erodo de gracia +ue abarca desde +ue se inicia el &rotector de
&antalla $asta el momento en el +ue se blo+uea la consola de forma autom9tica 7 se
$abilita el blo+ueo del &rotector de &antalla4
8LENOL-C5LO#5C870E1So't3are1#icroso't12indo3s 0.1CurrentDersion1
2inlogon1
subclave4
Securit Log 0ear Capacit 2arning: (ercentage threshold 'or the securit e%ent log at
3hich the sstem 3ill generate a 3arning
(sta entrada a&arece como #SS: (2arningLe%el) (ercentage threshold 'or the
securit e%ent log at 3hich the sstem 3ill generate a 3arning en "*(4
(sta o&cin est9 dis&onible con el "0# de indo!s 20004 )enera una auditora de
seguridad en el registro de seguridad cuando el tamaCo del mismo alcanza un umbral
definido &or el usuario4 0or e,em&lo: si se configura el valor de esta entrada del
'egistro en >0 7 el registro de seguridad alcanza un >0W de ca&acidad: el registro
mostrar9 la siguiente entrada con el Id4 de evento 52#: J5$e securit7 event log is >0
&ercent full4J
0ota: si la configuracin del registro se establece &ara So$rescri$ir e%entos
cuando sea necesario o So$rescri$ir e%entos *ue tengan ms de x d/as: no se
generar9 este evento4
0uede agregar este valor del 'egistro al arc$ivo de &lantilla de seguridad en la
8LENOL-C5LO#5C870E1
SNS.E#1CurrentControlSet1Ser%ices1E%entlog1Securit1
subclave4
Ena$le Sa'e 4LL Search -rder: Ena$le Sa'e 4LL search mode (recommended)
(sta entrada a&arece como #SS: (Sa'e4llSearch#ode) Ena$le Sa'e 4LL search
mode (recommended) en "*(4
(l orden de bHs+ueda de D88 se &uede configurar &ara +ue los arc$ivos D88
solicitados &or los &rocesos en e,ecucin se bus+uen de una de estas dos formas:
Fuscar &rimero en las car&etas es&ecificadas en la ruta de acceso del sistema 7:
a continuacin: buscar en la car&eta de traba,o actual4
Fuscar &rimero en la car&eta de traba,o actual 7: a continuacin: buscar en las
car&etas es&ecificadas en la ruta de acceso del sistema4
(l valor del 'egistro se configura como 1: lo +ue $ace +ue el e+ui&o bus+ue &rimero
en las car&etas es&ecificadas en la ruta de acceso del sistema 7: a continuacin: en la
car&eta de traba,o actual4 "i esta entrada se configura como 0: el sistema busca
&rimero en la car&eta de traba,o actual 7: a continuacin: en las car&etas
es&ecificadas en la ruta de acceso del sistema4
8LENOL-C5LO#5C870E1 SNS.E#1CurrentControlSet1Control1Session
#anager1
subclave4
5utomatic <e$oot: 5llo3 2indo3s to automaticall restart a'ter a sstem crash
(sta entrada a&arece como #SS: (5uto<e$oot) 5llo3 2indo3s to automaticall
restart a'ter a sstem crash (recommended except 'or highl secure
en%ironments) en "*(4
*uando esta entrada est9 $abilitada: un servidor &uede reiniciarse autom9ticamente
tras un blo+ueo grave4 (st9 $abilitada de forma &redeterminada: lo +ue no es
recomendable &ara los servidores altamente seguros4
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Control1CrashControl1
subclave4
5utomatic Logon: Ena$le 5utomatic Logon
(sta entrada a&arece como #SS: (5uto5dminLogon) Ena$le 5utomatic
Logon (not recommended) en "*(4 (sta entrada no est9 $abilitada de forma
&redeterminada 7 no debe usarse nunca en un servidor: &r9cticamente en ninguna
circunstancia imaginable4
0ara obtener m9s informacin: consulte el artculo de -icrosoft Mno!ledge Fase
JGabilitar el inicio de sesin autom9tico en indo!s B
L
J en
$tt&://su&&ort4microsoft4com/<1bid=#152#1
L
4
8LENOL-C5LO#5C870E1So't3are1#icroso't12indo3s 0.1CurrentDersion1
2inlogon1
subclave4
5dministrati%e Shares: Ena$le 5dministrati%e Shares
(sta entrada a&arece como #SS: (5utoShare2Cs) Ena$le 5dministrati%e
Shares (recommended except 'or highl secure en%ironments) en "*(4 De
forma &redeterminada: cuando las funciones de red de indo!s est9n activadas en
un servidor: indo!s crea recursos com&artidos administrativos ocultos: lo +ue no es
recomendable en servidores altamente seguros4
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1<as#an1(ara
meters1
subclave4
4isa$le Sa%ed (ass3ords: (re%ent the dial"up pass3ord 'rom $eing sa%ed
(sta entrada a&arece como #SS: (4isa$leSa%e(ass3ord) (re%ent the dial"up
pass3ord 'rom $eing sa%ed (recommended) en "*(4 De forma &redeterminada:
indo!s ofrecer9 la o&cin de guardar las contraseCas &ara las cone;iones de acceso
telefnico 7 R0?: lo +ue no es recomendable en un servidor4
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1LanmanSer%er
1
(arameters1
subclave4
Ena$le 7(Sec to protect Ler$eros <SD( .ra''ic: Ena$le 0o4e'aultExempt 'or 7(Sec Filtering
(sta entrada a&arece como #SS: (0o4e'aultExempt) Ena$le 0o4e'aultExempt
'or 7(Sec Filtering (recommended) en "*(4 (n la a7uda en &antalla de -icrosoft
indo!s "erver 200# se detallan las e;enciones &redeterminadas a los filtros de la
directiva I0"ec4 (stos filtros &ermiten el funcionamiento de Intercambio de claves de
Internet 2IM(3 7 del &rotocolo de autenticacin Merberos4 8os filtros tambi6n &ermiten
+ue se seCale 2'"R03 la calidad de servicio 2To"3 de la red cuando el tr9fico de datos
est9 &rotegido mediante I0"ec: as como el tr9fico +ue I0"ec no &uede &roteger
2como el tr9fico de multidifusin o difusin34
8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices17(SEC1
subclave4
&rupos restringidos
8a funcin )ru&os restringidos &ermite administrar la &ertenencia a gru&os a trav6s
de mecanismos de directiva: as como im&edir la e;&lotacin deliberada o inadvertida
de los gru&os +ue tienen derec$os de usuario &otentes4 Analice en &rimer lugar las
necesidades de su organizacin &ara determinar los gru&os +ue desea restringir4
8os gru&os -peradores de copia de seguridad 7 ,suarios a%anzados se $an
restringido en los tres entornos definidos en esta gua4 Aun+ue los miembros de los
gru&os -peradores de copia de seguridad 7 ,suarios a%anzados tengan menos
derec$os de acceso +ue los miembros del gru&o 5dministradores: siguen contando
con eficaces ca&acidades4
0ota : si su organizacin utiliza cual+uiera de estos gru&os: controle con cuidado su
asociacin 7 no im&lemente la gua &ara la configuracin de )ru&os restringidos4 "i
su organizacin agrega usuarios al gru&o Ksuarios avanzados: es &robable +ue desee
im&lementar los &ermisos o&cionales del sistema de arc$ivos +ue se describen en la
siguiente seccin: X"eguridad del sistema de arc$ivosY4
0uede establecer la configuracin de )ru&os restringidos en indo!s "erver 200#
con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o:
seguridad1Arupos restringidos
8os administradores &ueden configurar gru&os restringidos si agregan el gru&o +ue
desean directamente a la directiva -"F04 *uando un gru&o est9 restringido: se
&ueden definir sus miembros as como otros gru&os a los +ue &ertenezca4 "i no se
es&ecifican estos miembros de gru&o: el gru&o estar9 totalmente restringido4
Seguridad del sistema de arc"ivos
(l sistema de arc$ivos ?5E" se $a me,orado con cada nueva versin de -icrosoft
indo!s 7 los &ermisos &redeterminados &ara ?5E" son adecuados &ara la ma7ora
de las organizaciones4 8as configuraciones tratadas en esta seccin se &ro&orcionan
como o&ciones de uso o&cional &ara las organizaciones +ue no utilizan gru&os
restringidos &ero +ue desean tener un nivel adicional de seguridad en los servidores4
0uede establecer la configuracin de seguridad del sistema de arc$ivos en la
siguiente ubicacin del (ditor de ob,etos de directiva de gru&o:
seguridad1Sistema de archi%os
0ota: es necesario &robar e;$austivamente todos los cambios realizados en la
configuracin de seguridad &redeterminada del sistema de arc$ivos en un entorno de
laboratorio antes de im&lementarlos en una organizacin de gran tamaCo4 "e $an
dado casos en +ue los &ermisos de arc$ivos se $an modificado $asta tal &unto +ue
los e+ui&os afectados &or ello se $an tenido +ue reconstruir com&letamente4
8os &ermisos &redeterminados de arc$ivos en indo!s "erver 200# con "01 son
suficientes &ara la ma7ora de las situaciones4 "in embargo: si no &rev6 blo+uear los
miembros +ue forman &arte del gru&o ,suarios a%anzados con la caracterstica
)ru&os restringidos o si &lanea $abilitar la configuracin 5cceso de red: de:a *ue
los permisos de .odos se apli*uen a los usuarios an+nimos: es &osible +ue
desee a&licar los &ermisos o&cionales +ue se describen a continuacin4 "on mu7
es&ecficos 7 a&lican restricciones adicionales a determinadas $erramientas
e,ecutables +ue un usuario malintencionado con &rivilegios elevados &odra usar &ara
com&rometer el e+ui&o o la red4
%bserve cmo estos cambios no afectan a varias car&etas ni a la raz del volumen del
sistema4 0uede resultar mu7 arriesgado cambiar los &ermisos de esa manera:
adem9s de +ue a menudo conlleva la inestabilidad del e+ui&o4 5odos los arc$ivos
siguientes se encuentran en la car&eta MSstem<ootM1Sstem6!1 7 a todos
ellos se les $an concedido los siguientes &ermisos: 5dministradores: Control total)
Sistema: Control total4
regedit4e;e
ar&4e;e
at4e;e
attrib4e;e
cacls4e;e
debug4e;e
edlin4e;e
eventcreate4e;e
eventtriggers4e;e
ft&4e;e
nbtstat4e;e
net4e;e
net14e;e
nets$4e;e
netstat4e;e
nsloo1u&4e;e
ntbac1u&4e;e
rc&4e;e
reg4e;e
regedt#24e;e
regini4e;e
regsvr#24e;e
re;ec4e;e
route4e;e
rs$4e;e
sc4e;e
secedit4e;e
subst4e;e
s7steminfo4e;e
telnet4e;e
tft&4e;e
tlntsvr4e;e
0ara su comodidad: estos &ermisos o&cionales 7a est9n configurados en la &lantilla
de seguridad denominada -ptional"File"(ermissions.in': +ue se inclu7e con la
versin descargable de esta gua4
Configuracin de seguridad adicional
Aun+ue la ma7ora de las contramedidas utilizadas en esta gua &ara reforzar la
seguridad de los servidores de lnea de base se $an a&licado mediante la directiva de
gru&o: e;isten configuraciones adicionales +ue son bastante difciles o casi im&osibles
de a&licar con la directiva de gru&o4 0ara obtener una e;&licacin detallada de las
contramedidas descritas en esta seccin: consulte la gua com&lementaria: Amenazas
y contramedidas: configuracin de seguridad en Windows Server 2003 y
Windows XP
1
: +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515>
1
4
Procedimientos de consolidacin manual
(n esta seccin se describe cmo se im&lementaron manualmente algunas
contramedidas adicionales 2como la seguridad de las cuentas3 &ara los distintos
entornos de seguridad definidos en esta gua4
5dici+n manual de grupos de seguridad Enicos a las asignaciones de derechos de usuario
8a ma7ora de los gru&os de seguridad recomendados &ara las asignaciones de
derec$os de usuario se configuraron en las &lantillas de seguridad +ue acom&aCan a
esta gua4 ?o obstante: e;isten algunos derec$os +ue no se &ueden incluir en las
&lantillas de seguridad: &or+ue los identificadores de seguridad 2"ID3 de
determinados gru&os de seguridad son Hnicos entre los distintos dominios de
indo!s "erver 200#4 (l &roblema radica en +ue el 'ID 2identificador relativo3: +ue
forma &arte del "ID 2identificador de seguridad3: es Hnico4 (stos derec$os se inclu7en
en la tabla siguiente4
5d%ertencia: en la siguiente tabla se inclu7en valores &ara el administrador
integrado4 (l administrador integrado es la cuenta de usuario integrada 7 no el gru&o
de seguridad 5dministradores4 "i se agrega el gru&o de seguridad
5dministradores a cual+uiera de los derec$os de usuario de denegacin de acceso
siguientes: deber9 iniciar sesin localmente &ara corregir el error4
Adem9s: la cuenta de administrador integrada &uede tener un nombre nuevo si $a
seguido la recomendacin anteriormente indicada en esta gua de cambiarle el
nombre4 Al agregar esta cuenta a cual+uier derec$o de usuario de denegacin de
acceso: asegHrese de seleccionar la cuenta de administrador a la +ue $a cambiado el
nombre4
.a$la 4.6@ 5signaciones de derechos de usuario agregadas manualmente
0om$re del
parmetro
en 7,
Cliente heredado Cliente de empresa
Seguridad
especializada:
Funcionalidad
limitada
Denegar el
acceso desde
la red a este
e+ui&o
Administrador
integradoD
"u&&ortO#AA>@5a0D
InvitadoD todas las
cuentas de servicios
+ue ?% sean del
sistema o&erativo
Administrador
integradoD
"u&&ortO#AA>@5a0D
InvitadoD todas las
+ue ?% sean del
sistema o&erativo
Administrador
integradoD
"u&&ortO#AA>@5a0D
InvitadoD todas las
+ue ?% sean del
sistema o&erativo
Denegar el
inicio de
sesin como
traba,o &or
lotes
"u&&ortO#AA>@5a0 e
Invitado
"u&&ortO#AA>@5a0 e
Invitado
"u&&ortO#AA>@5a0 e
Invitado
Denegar
inicio de
sesin a
trav6s de
"ervicios de
Administrador
integradoD InvitadosD
"u&&ortO#AA>@5a0D
Invitado 7 todas las
cuentas de servicio +ue
Administrador
"u&&ortO#AA>@5a0D
Administrador
"u&&ortO#AA>@5a0D
5erminal
"erver
?% sean del sistema
o&erativo4
?% sean del sistema
o&erativo4
?% sean del sistema
o&erativo4

7mportante: todas las cuentas de servicio +ue ?% sean del sistema o&erativo son
cuentas de servicio de a&licaciones es&ecficas de la em&resa4 (stas cuentas no
inclu7en las cuentas "I"5(-A 8%*A8: "('RI*I% 8%*A8 o "('RI*I% D( '(D +ue son
cuentas integradas del sistema o&erativo4
0ara agregar manualmente los gru&os de seguridad indicados a la directiva de lnea
de base de servidores miembros &ara el entorno *liente de em&resa: siga los &asos
siguientes4
(ara agregar grupos de seguridad a las asignaciones de derechos de usuario
(n Ksuarios 7 e+ui&os de Active Director7: $aga clic con el botn secundario en
la K% "ervidores miembro 7: a continuacin: seleccione (ropiedades4
14
(n la fic$a 4irecti%a de grupo: seleccione Enterprise Client #em$er Ser%er
&aseline (olic 2directiva de lnea de base de servidores miembros de *liente
de em&resa3 &ara editar el )0% vinculado4
24
"eleccione Enterprise Client P #em$er Ser%er &aseline (olic 7: a
continuacin: $aga clic en Editar4
#4
(n la ventana 4irecti%a de grupo: $aga clic en Con'iguraci+n del
e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de
seguridad14irecti%as locales15signaci+n de derechos de usuario &ara
agregar los gru&os de seguridad Hnicos de la tabla anterior &ara cada derec$o4
@4
*ierre la directiva de gru&o +ue $a modificado4 54
*ierre la ventana (ropiedades de la K% "ervidores miembro4 L4
Euerce la re&licacin entre los controladores de dominio &ara +ue la directiva se
a&li+ue a todosD &ara ello: &roceda del siguiente modo:
74
Abra una ventana del smbolo del sistema: escriba gpupdate IForce 7
&resione (?5'A' &ara forzar al servidor a actualizar la directiva4
a4
'einicie el servidor4 b4
*om&ruebe en el registro de eventos +ue la directiva de gru&o se $a descargado
correctamente 7 +ue el servidor &uede comunicarse con los otros controladores
de dominio en el dominio4
A4
Seguridad de las cuentas conocidas
indo!s "erver 200# con "0 1 dis&one de una serie de cuentas de usuario
integradas +ue no se &ueden eliminar: &ero a las +ue s se les &uede cambiar el
nombre4 Dos de las cuentas integradas m9s conocidas en indo!s "erver 200# son
Invitado 7 Administrador4
De forma &redeterminada: se des$abilita la cuenta Invitado en los servidores
miembro 7 controladores de dominio4 (sta configuracin no se debe modificar4
-uc$as variaciones de cdigo malintencionado utilizan esta cuenta integrada
Administrador como &rimer intento de acceso al servidor4 0or tanto: se cambia el
nombre de la cuenta de administrador integrada 7 se modifica su descri&cin &ara
im&edir +ue los atacantes +ue intenten usar esta cuenta conocida com&rometan un
servidor remoto4
(l valor de este cambio de configuracin se $a reducido en los Hltimos aCos debido a
la e;istencia de $erramientas de ata+ue +ue intentan obtener acceso al servidor
mediante la es&ecificacin del identificador de seguridad 2"ID3 de la cuenta de
administrador integrada &ara averiguar su nombre real4 Kn "ID es el identificador
Hnico de cada usuario: gru&o: cuenta de e+ui&o e inicio de sesin de una red4 ?o se
&uede modificar en el caso de esta cuenta integrada4 "in embargo: sus gru&os
o&erativos &ueden controlar f9cilmente los intentos de ata+ues contra esta cuenta de
administrador si cambia su nombre &or uno Hnico4
'ealice los &asos siguientes &ara &roteger las cuentas conocidas en los servidores 7
dominios:
*ambie el nombre de las cuentas de Administrador e Invitado 7 modifi+ue sus
contraseCas utilizando un valor largo 7 com&le,o en cada dominio 7 servidor4
Ktilice nombres 7 contraseCas distintas en cada servidor4 "i se utilizan los
mismos nombres de cuenta 7 las mismas contraseCas en todos los dominios 7
servidores: un atacante +ue obtuviera acceso a un servidor miembro &odra
tener acceso a los dem9s con el mismo nombre de cuenta 7 contraseCa4
*ambie las descri&ciones &redeterminadas de las cuentas &ara evitar su f9cil
identificacin4
'egistre cual+uier cambio +ue $aga en una ubicacin segura4
0ota: se &uede cambiar el nombre de la cuenta integrada Administrador desde
Directiva de gru&o4 (sta configuracin no se im&lement en la directiva de lnea
de base &or+ue cada organizacin debe elegir un nombre Hnico &ara esta
cuenta4 "in embargo: &uede configurar el &ar9metro Cuentas: cam$iar el
nom$re de la cuenta del administrador &ara cambiar el nombre de las
cuentas de administrador en los tres entornos +ue se definen en esta gua4 (sta
configuracin de directiva forma &arte de la configuracin %&ciones de seguridad
de un )0%4
Seguridad de las cuentas de ser%icios
A menos +ue sea absolutamente necesario: nunca configure un servicio &ara +ue se
e,ecute en el conte;to de seguridad de una cuenta de dominio4 "i el servidor se
encuentra fsicamente afectado: las contraseCas de la cuenta de dominio &odran
obtenerse f9cilmente mediante el volcado de secretos de la Autoridad de seguridad
local 28"A34 0ara obtener m9s informacin acerca de cmo asegurar las cuentas de
servicio: consulte la )ua de &laneamiento de la seguridad de servicios 7 cuentas de
servicios
7
en
!!!4microsoft4com/tec$net/securit7/to&ics/serversecurit7/serviceaccount/default4ms
&;
7
2en ingl6s34
0.FS
8as &articiones ?5E" admiten las A*8 en los niveles de arc$ivo 7 car&eta4 (sta
com&atibilidad no se encuentra dis&onible con la tabla de asignacin de arc$ivos
2EA53 o los sistemas de arc$ivos EA5#24 EA5#2 es una versin actualizada del
sistema de arc$ivos EA5 +ue &ermite tamaCos &redeterminados de clHster
significativamente m9s &e+ueCos 7 admite discos duros con un tamaCo m9;imo de
dos terab7tes4 EA5#2 se inclu7e en indo!s >5 %"'2: indo!s >A: -icrosoft
indo!s -e: indo!s 2000: indo!s B0 0rofessional 7 indo!s "erver 200#4
Eormatee todas las &articiones en cada servidor con ?5E"4 (m&lee la utilidad de
conversin &ara convertir con cuidado &articiones EA5 a ?5E": &ero no olvide +ue
dic$a utilidad configurar9 las listas A*8 de la unidad convertida en .odos: Control
total4
(n el caso de e+ui&os +ue e,ecuten indo!s 200# "erver con "01: a&li+ue
localmente las dos &lantillas de seguridad siguientes &ara configurar las A*8
&redeterminadas de sistema de arc$ivos en los servidores miembro 7 los
controladores de dominio: res&ectivamente:
M3indirM1in'1de'lts%.in'
M3indirM1in'1de'ltdc.in'
0ota: la configuracin de seguridad &redeterminada del controlador de dominio
se a&lica durante la &romocin de un servidor a un controlador de dominio4
"e $a dado formato a todas las &articiones de los servidores de los tres entornos
definidos en esta gua con &articiones ?5E": con el fin de ofrecer los medios
necesarios &ara una administracin de seguridad de los arc$ivos 7 directorios
mediante las A*84
Con'iguraciones de los Ser%icios de .erminal Ser%er
8a configuracin Esta$lecer ni%el de ci'rado de conexi+n de cliente determina el
nivel de cifrado &ara las cone;iones de clientes de los "ervicios de 5erminal "erver en
el entorno4 8a o&cin de configuracin 0i%el alto +ue utiliza cifrado de 12A bits
im&ide +ue los atacantes interce&ten las sesiones de los "ervicios de 5erminal "erver
con un analizador de &a+uetes4 Algunas versiones m9s antiguas del cliente de
"ervicios de 5erminal "erver no son com&atibles con este nivel de cifrado alto4 "i su
red dis&one de dic$os clientes: configure el nivel de cifrado de la cone;in &ara +ue
enve 7 reciba datos en el nivel de cifrado m9s alto &ermitido &or el cliente4
0uede establecer esta configuracin en la siguiente ubicacin de la directiva de
gru&o:
Con'iguraci+n del e*uipo1(lantillas administrati%as1Componentes de
2indo3s1
Ser%icios de .erminal Ser%er1Ci'rado seguridad.
.a$la 4.61 <ecomendaci+n de con'iguraci+n del ni%el de ci'rado de las
conexiones de cliente
0om$re del parmetro
en 7,
Cliente
heredado
Cliente de
empresa
(stablecer el nivel de
cifrado de cone;in de
cliente
Alta Alta Alta

8os tres niveles dis&onibles de cifrado se describen en la tabla siguiente:
.a$la 4.6! 0i%eles de ci'rado de Ser%icios de .erminal Ser%er
0i%el de
ci'rado
4escripci+n
?ivel alto
*ifra los datos +ue se envan desde el cliente al servidor 7 desde el
servidor al cliente con cifrado de 12A bits4 Ktilice este nivel siem&re +ue
5erminal "erver se e,ecute en un entorno +ue slo inclu7a clientes de
12A bits: como los clientes de *one;in a (scritorio remoto4 8os clientes
+ue no admitan este nivel de cifrado no se &odr9n conectar4
*liente
com&atible
*ifra los datos enviados entre el cliente 7 el servidor con la fuerza
m9;ima de la clave admitida &or el cliente4 (m&lee este nivel cuando
5erminal "erver se e,ecute en un entorno con clientes mi;tos o
$eredados4
?ivel ba,o
*ifra los datos +ue se envan del cliente al servidor con cifrado de
5L bits4
7mportante: los datos enviados del servidor al cliente no est9n
cifrados4

*n$orme de errores
.a$la 4.66 Con'iguraci+n recomendada de los in'ormes de errores
Con'iguraci+n
Cliente
heredado
Cliente de
empresa
Desactivar Informe de
errores de indo!s

(ste servicio a7uda a -icrosoft a realizar un seguimiento de los errores as como a
solucionarlos4 0uede configurar este servicio &ara generar informes &ara los errores
del sistema o&erativo: com&onentes de indo!s o de &rograma4 "lo est9 dis&onible
en indo!s B0 0rofessional 7 indo!s "erver 200#4
(l servicio 7n'orme de errores &uede informar de dic$os errores a -icrosoft a
trav6s de Internet o a un recurso com&artido de arc$ivos internos4 Aun+ue los
informes de error &uedan incluir datos cor&orativos de contenido delicado o incluso
confidenciales: la directiva de &rivacidad de -icrosoft con res&ecto a la notificacin de
errores asegura +ue -icrosoft no utilizar9 dic$os datos de forma incorrecta4 ?o
obstante: los datos se transmiten en G550 de te;to sin formato 7 &odran ser
interce&tados en Internet 7 visualizados &or terceros4
8a configuracin 4esacti%ar 7n'orme de errores de 2indo3s &ermite controlar si
el servicio Informe de errores transmite algHn dato4
0uede configurar esta configuracin de directiva en indo!s "erver 200# en la
ubicacin siguiente dentro del (ditor de ob,etos de directiva de gru&o:
Con'iguraci+n del e*uipo1(lantillas administrati%as1Sistema15dministraci+n
de comunicaciones de 7nternet1Con'iguraci+n de comunicaciones de
7nternet
(stablezca el &ar9metro 4esacti%ar 7n'orme de errores de 2indo3s como
8a$ilitado en la D*F0 &ara los tres entornos +ue se definen en esta gua4
8a$ilitaci+n de %olcados de memoria manuales
indo!s "erver 200# con "01 inclu7e una caracterstica +ue sirve &ara detener el
e+ui&o 7 generar un arc$ivo de volcado de memoria -emor74dm&4 (sta caracterstica
se debe $abilitar de forma e;&lcita 7 &uede +ue no sea a&ro&iada &ara todos los
servidores de la organizacin4 "i determina +ue sera valioso ca&turar volcados de
memoria en algunos servidores: &uede seguir las instrucciones &ro&orcionadas en el
artculo 8as caractersticas de indo!s &ermiten generar un arc$ivo -emor74dm&
mediante el teclado
A
en $tt&://su&&ort4microsoft4com/default4as&;<1bid=2@@1#>
A
4
7mportante: cuando la memoria se co&ia a un disco como se describe en dic$o
artculo: la informacin confidencial &odra incluirse en el arc$ivo -emor74dm&4 8o
ideal es +ue todos los servidores est6n &rotegidos del acceso fsico no autorizado4 "i
genera un arc$ivo de volcado de memoria en un servidor +ue tiene riesgos de
resultar com&rometido fsicamente: asegHrese de eliminar el arc$ivo de volcado antes
de concluir la solucin de &roblemas4
reacin de la directiva de l'nea de base con S2
0ara im&lementar la configuracin de seguridad necesaria: &rimero debe crear una
directiva de lnea de base de servidores miembro 2-"F034 0ara ello: debe utilizar el
Asistente &ara configuracin de seguridad 2"*3 7 las &lantillas de seguridad +ue se
inclu7en con la versin descargable de esta gua4
Al crear su &ro&ia directiva: asegHrese de omitir las secciones J*onfiguracin del
'egistroJ 7 XDirectiva de auditoraY4 8as &lantillas de seguridad &ro&orcionan esta
configuracin &ara el entorno escogido4 (ste enfo+ue es necesario &ara asegurar +ue
los elementos de la directiva &ro&orcionados &or las &lantillas tienen &rioridad sobre
los configurados &or "*4
Debe utilizar una instalacin nueva del sistema o&erativo &ara em&ezar su traba,o de
configuracin: lo +ue garantiza +ue no $a7a ninguna configuracin $eredada ni
soft!are de configuraciones &revias4 "i es &osible: utilice $ard!are similar al
$ard!are +ue se utiliza en su im&lementacin &ara garantizar la ma7or
com&atibilidad &osible4 8a instalacin nueva se llama e!ui"o de referencia4
(s &robable +ue durante la creacin de la directiva -"F0 +uite la funcin de servidor
de arc$ivos de la lista de funciones detectadas4 (sta funcin se configura
comHnmente en servidores +ue no la re+uieren 7 se &odra considerar un riesgo de
seguridad4 0ara $abilitar la funcin de servidor de arc$ivos &ara servidores +ue la
re+uieren: &uede a&licar una segunda directiva m9s adelante en este &roceso4
(ara crear la directi%a de l/nea de $ase de ser%idores miem$ro (#S&()
*ree una instalacin nueva de indo!s "erver 200# con "01 en un e+ui&o de
referencia nuevo4
14
Instale el com&onente del Asistente &ara configuracin de seguridad en el
e+ui&o mediante 0anel de control: Agregar o +uitar &rogramas: Agregar o +uitar
com&onentes de indo!s4
24
Kna el e+ui&o al dominio4 #4
Instale 7 configure slo las a&licaciones obligatorias +ue estar9n en cada
servidor en su entorno4 8os e,em&los inclu7en su soft!are 7 los agentes de
administracin: agentes de co&ia de seguridad en cinta 7 las utilidades antivirus
o contra soft!are es&a4
@4
Inicie la interfaz gr9fica de usuario de "*: seleccione Crear directi%a nue%a
7 va7a al e+ui&o de referencia4
54
(limine la funcin de servidor de arc$ivos de las funciones detectadas +ue se
enumeran4
L4
*om&ruebe +ue las funciones de servidor detectadas son adecuadas &ara su
entorno4
74
*om&ruebe +ue las caractersticas de cliente detectadas son adecuadas &ara su
entorno4
A4
*om&ruebe +ue las o&ciones administrativas detectadas son adecuadas &ara su
entorno4
>4
*om&ruebe +ue se $an detectado todos los servicios adicionales re+ueridos &or
su lnea de base: como agentes de co&ia de seguridad o soft!are antivirus4
104
Decida cmo tratar los servicios no es&ecificados en su entorno4 0ara una ma7or
seguridad: defina esta configuracin de directiva como 4esha$ilitada4 Debe
&robar esta configuracin antes de im&lementarla en su red de &roduccin
&or+ue &uede &rovocar &roblemas si los servidores de &roduccin e,ecutan
servicios adicionales +ue no est9n du&licados en su e+ui&o de referencia4
114
*om&ruebe +ue la casilla de verificacin -mitir esta secci+n est9 activada en
la seccin J"eguridad de redJ 7: a continuacin: $aga clic en Siguiente4 8os
&uertos 7 las a&licaciones a&ro&iados identificados anteriormente se configuran
como e;ce&ciones &ara el Eire!all de indo!s4
124
(n la seccin J*onfiguracin del 'egistroJ: $aga clic en la casilla de verificacin
-mitir esta secci+n 7: a continuacin: $aga clic en Siguiente4 (sta
configuracin de la directiva se im&orta desde el arc$ivo I?E suministrado4
1#4
(n la seccin JDirectiva de auditoraJ: $aga clic en la casilla de verificacin
-mitir esta secci+n 7: a continuacin: $aga clic en Siguiente4 (sta
configuracin de la directiva se im&orta desde el arc$ivo I?E suministrado4
1@4
Inclu7a la &lantilla de seguridad a&ro&iada 2&or e,em&lo: (*I-ember "erver
Faseline4inf34
154
)uarde la directiva con un nombre a&ro&iado 2&or e,em&lo: -ember "erver
Faseline4;ml34
1L4
Prueba de la directiva utilizando S2
Des&u6s +ue crear 7 guardar la directiva: -icrosoft recomienda +ue la im&lemente a
su entorno de &rueba4 8o ideal sera +ue los servidores de &rueba tuvieran la misma
configuracin de $ard!are 7 soft!are +ue los servidores de &roduccin4 (ste
&lanteamiento le &ermitir9 encontrar 7 solucionar &osibles &roblemas: como la
&resencia de servicios im&revistos re+ueridos &or dis&ositivos de $ard!are
es&ecficos4
Ga7 dos o&ciones dis&onibles &ara &robar la directiva4 0uede utilizar los servicios de
im&lementacin nativos de "* o im&lementar las directivas mediante un )0%4
*uando em&iece a crear sus directivas: debe considerar la utilizacin de los servicios
de im&lementacin nativos de "*4 0uede utilizar "* &ara instaurar una directiva a
un solo servidor cada vez: o usar "c!cmd &ara instaurar la directiva en un gru&o de
servidores4 (l m6todo nativo de im&lementacin ofrece la venta,a de &oder des$acer
f9cilmente las directivas im&lementadas desde "*4 (sta ca&acidad &uede ser mu7
Htil cuando se $acen varios cambios a las directivas durante el &roceso de la &rueba4
8a directiva se &rueba &ara asegurar +ue la a&licacin de esta directiva a los
servidores de destino no afectar9 sus funciones crticas4 Kna vez +ue $a7a a&licado
los cambios de configuracin: deber9 comenzar a com&robar la funcionalidad &rinci&al
del e+ui&o4 0or e,em&lo: si el servidor se $a configurado como una entidad emisora
de certificados 2*A3: asegHrese de +ue los clientes &uedan solicitar 7 obtener
certificados: descargar una lista de revocacin de certificados: etc4
*uando est6 satisfec$o con la configuracin de la directiva: &uede utilizar "c!cmd
como se muestra en el &rocedimiento siguiente &ara convertir las directivas a )0%4
0ara obtener m9s informacin acerca de cmo &robar las directivas de "*: consulte
la )ua de im&lementacin del Asistente &ara configuracin de seguridad
>
en
!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"*De&lo7ing/
525@fAcdI1@#eI@55>Ia2>>I>c72#b#LL>@L4ms&;
>
2en ingl6s3 7 la documentacin del
Asistente &ara configuracin de seguridad
10
en $tt&://go4microsoft4com/f!lin1/<
lin1id=@#@50
10
2en ingl6s34
onversin e implementacin de la directiva
Des&u6s de &robar com&letamente la directiva: com&lete los &asos siguientes &ara
convertirla en un )0% e im&lementarla:
(n el smbolo de sistema: escriba el siguiente comando: 14
7: a continuacin: &ulse (ntrar4 0or e,em&lo:
0ota: la informacin +ue se introducir9 en el smbolo del sistema se muestra
a+u en m9s de una lnea a causa de las limitaciones de &antalla4 (sta
informacin debe introducirse en una lnea4
Ktilice la *onsola de administracin de directivas de gru&o &ara vincular los
nuevos )0% creados a la K% a&ro&iada4
24
%bserve +ue: si el arc$ivo de directiva de seguridad de "* contiene configuracin
de Eire!all de indo!s: el Eire!all de indo!s debe estar activo en el e+ui&o local
&ara +ue este &rocedimiento se &ueda com&letar correctamente4 0ara com&robar +ue
el Eire!all de indo!s est9 activo: abra el 0anel de control 7 $aga doble clic en
Fire3all de 2indo3s4
Deber9 realizar una Hltima &rueba &ara asegurarse de +ue el )0% a&lica la
configuracin deseada4 0ara com&letar este &rocedimiento: confirme +ue se $a
establecido la configuracin a&ro&iada 7 +ue los servicios no se ven afectados4
$esumen
(n este ca&tulo se $an e;&licado los &rocedimientos &ara reforzar la seguridad de los
servidores +ue se a&licaron inicialmente a todos los servidores +ue e,ecutaban
indo!s "erver 200# con "01 en los tres entornos de seguridad definidos en esta
gua4 Kna gran &arte de estos &rocedimientos consistieron en la creacin de una
Hnica &lantilla de seguridad &ara cada uno de los entornos de seguridad 7 su
&osterior im&ortacin a un ob,eto de directiva de gru&o 2)0%3 vinculado a la %K
&rinci&al &ara +ue el servidor miembro obtuviese el nivel de seguridad ob,etivo4
?o obstante: e;isten algunos &rocedimientos de consolidacin +ue no se &ueden
a&licar mediante la directiva de gru&o4 "e $a &ro&orcionado adem9s orientacin
acerca de cmo establecer esta configuracin manualmente4 "e $an ado&tado &asos
adicionales en el caso de determinadas funciones de servidor con el fin de &ermitir su
funcionamiento de la forma m9s segura &osible4
(ntre las medidas es&ecficas &ara las funciones de servidor se inclu7en
&rocedimientos adicionales &ara reforzar la seguridad 7 &ara reducir la configuracin
de seguridad en la directiva de seguridad de lnea de base4 (stas modificaciones se
analizan en detalle en los ca&tulos siguientes de esta gua4
scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

scwcmd transform /p:!:"#indows"$ec%rity"msscw"Policies"&em'er
$er(er )aseline.xml /g:&em'er $er(er )aseline Policy

*n$ormacin adicional
8os siguientes vnculos &ro&orcionan informacin adicional acerca de los temas
relacionados con la seguridad de los servidores +ue e,ecutan indo!s "erver 200#
con "014
0ara obtener m9s informacin acerca de la configuracin de seguridad de
indo!s "erver 200#: consulte la &9gina de descri&ciones sobre las
configuraciones de seguridad
11
en
$tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv
erGel&/dd>A0ca#IfLALI@ffcIaL17I50cL2@0f55A24ms&;
11
2en ingl6s34
0ara obtener m9s informacin acerca de la seguridad en indo!s "erver 200#:
visite el *entro de seguridad de indo!s "erver 200#
12
en
$tt&://!!!4microsoft4com/tec$net/securit7/&rodtec$/!indo!sserver200#4ms&;
1
2
4
0ara obtener m9s informacin acerca de la directiva de auditora de
indo!s "erver 200#: consulte la &9gina sobre la directiva de auditora
1#
en
erGel&/LA@7e72bI>c@7I@2abIb#e#IL>1addac>f##4ms&;
1#
2en ingl6s34
0ara obtener m9s informacin acerca de -icrosoft %&erations -anager 2-%-3:
consulte la &9gina de -icrosoft %&erations -anager
1@
en
$tt&://!!!4microsoft4com/mom/
1@
4
0ara obtener m9s informacin acerca de los derec$os de usuario en
indo!s "erver 200#: consulte la &9gina de derec$os de usuario
15
en
erGel&/5A>>A0fbI1aA#I@>0eIa7@5I#57750ced#d>4ms&;
15
2en ingl6s34
0ara obtener m9s informacin acerca de la configuracin &redeterminada de
seguridad &ara indo!s "erver 200#: consulte las diferencias de la
configuracin &redeterminada de seguridad
1L
en
erGel&/1@>@bf2cIb5>LI@7A5I>#bbIbcALfAe5@Ad54ms&;
1L
2en ingl6s34
0ara obtener m9s informacin acerca de cmo garantizar la seguridad de
"ervicios de 5erminal "erver de indo!s 2000: consulte los detalles sobre la
seguridad de los "ervicios de 5erminal "erver de indo!s 2000
17
en
$tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!in21ts/maintain/o&timize/sec!
21ts4ms&;
17
2en ingl6s34
0ara obtener m9s informacin acerca de cmo garantizar la seguridad de la &ila
5*0/I0 de indo!s "erver 200#: consulte el artculo de -icrosoft Mno!ledge
Fase J*mo &roteger la &ila 5*0/I0 frente a ata+ues &or denegacin de servicio
en la familia indo!s "erver 200#
1A
J en $tt&://su&&ort4microsoft4com/<
scid=#2@270
1A
4
0ara obtener m9s detalles acerca de cmo reforzar la configuracin de las
a&licaciones indo!s "oc1ets: consulte el artculo de -icrosoft Mno!ledge Fase
sobre la no dis&onibilidad de los servidores de Internet debido a ata+ues "N?
malintencionados
1>
en $tt&://su&&ort4microsoft4com/<1bid=1@2L@1
1>
2en
ingl6s34
0ara obtener m9s informacin acerca de la ubicacin de los arc$ivos 4adm:
consulte el artculo de -icrosoft Mno!ledge Fase JKbicacin de arc$ivos AD-
2&lantilla administrativa3 en indo!s
20
1bid=22A@L0
20
4
0ara obtener m9s informacin acerca de cmo &ersonalizar la interfaz de usuario
del (ditor de configuracin de seguridad: consulte el artculo de -icrosoft
Mno!ledge Fase J*mo agregar configuraciones &ersonalizadas del 'egistro al
(ditor de configuracin de seguridad
21
scid=21@752
21
4
0ara obtener m9s informacin acerca de cmo crear arc$ivos de &lantillas
administrativas &ersonalizadas en indo!s: consulte el artculo de -icrosoft
Mno!ledge Fase J*mo crear &lantillas administrativas &ersonalizadas en
indo!s 2000
22
J en $tt&://su&&ort4microsoft4com/<scid=#2#L#>
22
4 'evise
tambi6n las notas del &roducto relativas a la im&lementacin de la directiva de
gru&o basada en el 'egistro
2#
en
$tt&://!!!4microsoft4com/I?D%"2000/tec$info/$o!it!or1s/management/r
b&&a&er4as&
2#
2en ingl6s34
0ara obtener m9s informacin acerca de cmo garantizar +ue las
configuraciones del nivel de autenticacin de 8A? -anager m9s seguras
funcionen en redes con una combinacin de e+ui&os con indo!s 2000 7
indo!s ?5 @40: consulte el artculo de -icrosoft Mno!ledge Fase J0roblemas
de autenticacin en indo!s 2000 con niveles de ?58- 2 su&eriores a 2 en un
dominio de indo!s ?5 @40
2@
scid=#05#7>
2@
4
0ara obtener m9s informacin acerca de la autenticacin ?58-v2: consulte el
artculo de -icrosoft Mno!ledge Fase J*mo $abilitar la autenticacin ?58- 2
25
J
en $tt&://su&&ort4microsoft4com/<scid=2#>AL>
25
4
0ara obtener m9s informacin acerca de la configuracin &redeterminada de los
servicios en indo!s "erver 200#: consulte la &9gina sobre la configuracin
&redeterminada de servicios
2L
en
erGel&/2b1dcLcfI2e#@I@LA1I>aaLIAd0ffba2d#e#4ms&;
2L
2en ingl6s34
0ara obtener m9s informacin acerca de la im&lementacin de tar,etas
inteligentes: consulte la &9gina sobre cmo fomentar la calidad de la
informacin de la red con tar,etas inteligentes
27
en
$tt&://!!!4microsoft4com/tec$net/tec$netmag/issues/2005/01/"mart*ards/def
ault4as&;
27
2en ingl6s34
0ara obtener m9s informacin sobre el valor del 'egistro J'estrict Anon7mousJ
7 indo!s 2000: consulte el artculo de -icrosoft Mno!ledge Fase sobre la
&osibilidad de +ue el valor del 'egistro J'estrictAnon7mousJ afecte a la
confianza de un dominio indo!s 2000
2A
en $tt&://su&&ort4microsoft4com/<
1bid=2>L@05
2A
2en ingl6s34
0ara obtener m9s informacin sobre los informes de errores: consulte la &9gina
sobre informes de errores cor&orativos
2>
en
$tt&://!!!4microsoft4com/resources/satec$/cer/
2>
2en ingl6s34
0ara obtener informacin acerca de los &uertos de red utilizados &or las
a&licaciones de -icrosoft: consulte el artculo de -icrosoft Mno!ledge Fase J
Introduccin al servicio 7 re+uisitos del &uerto de red &ara el sistema indo!s
"erver
#0
J en $tt&://su&&ort4microsoft4com/1b/A#2017
#0
4


4escargar
%btenga la )ua de seguridad de indo!s "erver 200#
#1

0oti'icaciones de actualizaciones
"uscrbase &ara obtener m9s informacin sobre actualizaciones 7 nuevas versiones
#2

Comentarios
(nvenos sus comentarios o sugerencias
##

Tabla de v'nculos
1
htt":##go$microsoft$com#fwlin%#&'in%(d)*+*+,
2
htt":##technet$microsoft$com#es-"e#li.rary#/c*03*2*$sgfg010*2.ig3l)es-es4$gif
#
htt":##technet$microsoft$com#es-"e#li.rary#/c*03*2*$sgfg01022.ig3l)es-es4$gif
@
htt":##su""ort$microsoft$com#&%.id)5,*+,6
5
htt":##www$microsoft$com#technet#"rodtechnol#e7change#guides#82%3A9Perm#*
*0e36.f-a05c-16..-.1d+-*cfd+3,d,c.a$ms"7
L
htt":##su""ort$microsoft$com#default$as"7&%.id)3*+23*
7
htt":##www$microsoft$com#technet#security#to"ics#serversecurity#serviceaccount#
default$ms"7
A
htt":##su""ort$microsoft$com#default$as"7&%.id)211*3,
>
htt":##technet$microsoft$com#es-es#li.rary#cc66056*$as"7
10
htt":##go$microsoft$com#fwlin%#&lin%id)131+0
11
htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv
er:el"#dd,50ca3-f050-1ffc-a0*6-+0c0210f++52$ms"7
12
htt":##www$microsoft$com#technet#security#"rodtech#windowsserver2003$ms"7
1#
er:el"#0516e62.-,c16-12a.-.3e3-0,*addac,f33$ms"7
1@
htt":##www$microsoft$com#mom#
15
er:el"#+5,,50f.-*a53-1,0e-a61+-3+66+0ced3d,$ms"7
1L
er:el"#*1,1.f2c-.+,0-165+-,3..-.c50f5e+15d+$ms"7
17
htt":##www$microsoft$com#technet#"rodtechnol#win2%ts#maintain#o"timize#secw
2%ts$ms"7
1A
htt":##su""ort$microsoft$com#&%.id)321260
1>
htt":##su""ort$microsoft$com#&%.id)*1201*
20
htt":##su""ort$microsoft$com#&%.id)225100
21
htt":##su""ort$microsoft$com#&%.id)2*16+2
22
htt":##su""ort$microsoft$com#&%.id)32303,
2#
htt":##www$microsoft$com#W(;9<WS2000#techinfo#howitwor%s#management#r.
""a"er$as"
2@
htt":##su""ort$microsoft$com#&%.id)30+36,
25
htt":##su""ort$microsoft$com#&%.id)23,50,
2L
er:el"#2.*dc0cf-2e31-105*-,aa0-5d0ff.a2d3e3$ms"7
27
htt":##www$microsoft$com#technet#technetmag#issues#200+#0*#Smart/ards#
Z 2012 -icrosoft4 'eservados todos los derec$os4
2A
htt":##su""ort$microsoft$com#&%.id)2,010+
2>
htt":##www$microsoft$com#s"ain#licencias#sa#cer$ms"7
#0
htt":##su""ort$microsoft$com#%.#5320*6
#1
htt":##go$microsoft$com#fwlin%#&lin%id)*1510
#2
htt":##go$microsoft$com#fwlin%#&lin%id)+1,52
##
mailto:secwish=microsoft$com&asunto)>u?/3?A9a?20de?20seguridad?
20de?20Windows?20Server?202003
ontenido de la comunidad


Windows Lista de Eventos

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Lista de Eventos

Transféré par

Droits d'auteur :

Formats disponibles

Gua de Seguridad de

Windows Server 2003

Vous aimerez peut-être aussi