Captulo 4: Directiva de lnea de base de servidores miembro Actualizado: 27/12/05
En esta pgina Informacin general Directiva de lnea de base de indo!s "erver 200# Directiva de auditora Asignaciones de derec$os de usuario %&ciones de seguridad 'egistro de eventos (ntradas de registro adicionales )ru&os restringidos "eguridad del sistema de arc$ivos *onfiguracin de seguridad adicional 'esumen Informacin general (n este ca&tulo se documentan los re+uisitos de configuracin &ara administrar una &lantilla de seguridad de lnea de base &ara todos los servidores +ue e,ecutan -icrosoft. indo!s "erver/ 200# con "ervice 0ac1 1 2"0134 5ambi6n se &ro&orciona una orientacin administrativa &ara instalar 7 configurar un sistema seguro basado en indo!s "erver 200# con "01 en tres entornos distintos4 8os re+uisitos de configuracin de este ca&tulo constitu7en la lnea de base &ara todos los &rocedimientos descritos en los ca&tulos &osteriores de esta gua4 (stos ca&tulos describen cmo reforzar la seguridad de funciones es&ecficas de servidor4 8as recomendaciones de configuracin de este ca&tulo &ermitir9n instaurar seguridad en la base de los servidores de a&licaciones em&resariales de un entorno de em&resa4 "in embargo: es necesario &robar e;$austivamente la interaccin de estas configuraciones de seguridad con las a&licaciones em&resariales de su organizacin antes de im&lementarlas en los entornos de &roduccin4 8as recomendaciones de este ca&tulo son adecuadas &ara la ma7ora de las organizaciones 7 se &ueden im&lementar en e+ui&os nuevos o e;istentes +ue e,ecuten indo!s "erver 200# con "014 (l e+ui&o +ue $a elaborado esta gua $a investigado: revisado 7 &robado las configuraciones de seguridad &redeterminadas dentro de indo!s "erver 200# con "014 0ara obtener informacin acerca de todas las configuraciones &redeterminadas 7 una e;&licacin detallada sobre las +ue se describen en este ca&tulo: consulte la gua com&lementaria Amenazas y Page 1 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP 1 : +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515> 1 4 ?ormalmente: la ma7ora de las siguientes recomendaciones de configuracin ofrecen una ma7or seguridad +ue las configuraciones &redeterminadas4 8as configuraciones de seguridad +ue se analizan en este ca&tulo est9n relacionadas con los tres entornos siguientes: Cliente heredado (LC). (ste entorno inclu7e e+ui&os +ue e,ecutan indo!s ?5. @40 7 -icrosoft indo!s. >A: a los +ue a veces se les denomina sistemas o&erativos heredados4 Aun+ue este entorno &ro&orciona una seguridad adecuada: es el menos seguro de los tres +ue se definen en esta gua4 0ara contar con una ma7or seguridad: las organizaciones &ueden decidir migrar al entorno *liente de em&resa: +ue es m9s seguro4 Adem9s de los sistemas o&erativos $eredados a los +ue se $a $ec$o referencia: el entorno 8* inclu7e estaciones de traba,o con indo!s 2000 0rofessional 7 indo!s B0 0rofessional4 (ste entorno slo contiene controladores de dominio con indo!s 2000 o indo!s "erver 200#4 ?o e;isten controladores de dominio con indo!s ?5 @40 en este entorno: &ero es &osible +ue e;istan servidores miembro con indo!s ?54 Cliente de empresa (EC)4 (ste entorno &ro&orciona una seguridad slida 7 est9 diseCado &ara las versiones m9s recientes del sistema o&erativo indo!s4 Inclu7e e+ui&os cliente +ue e,ecutan indo!s 2000 0rofessional 7 indo!s B0 0rofessional4 8a ma7ora del traba,o +ue es necesario realizar &ara migrar del entorno 8* al entorno (* est9 relacionado con las actualizaciones de los clientes $eredadosD &or e,em&lo: de indo!s >A 7 indo!s ?5 @40 or1station a indo!s 2000 o indo!s B04 5odos los controladores de dominio 7 servidores miembro de este entorno e,ecutan indo!s 2000 "erver o indo!s "erver 200#4 Seguridad especializada: Funcionalidad limitada (SSLF)4 (ste entorno ofrece una seguridad m9s slida +ue el entorno (*4 8a migracin del entorno (* al entorno ""8E re+uiere el cum&limiento de estrictas directivas de seguridad en los e+ui&os cliente 7 en los servidores4 (ste entorno inclu7e e+ui&os cliente +ue e,ecutan indo!s 2000 0rofessional 7 indo!s B0 0rofessional: as como controladores de dominio con indo!s 2000 "erver o indo!s "erver 200#4 (n el entorno ""8E: la &reocu&acin &or la seguridad es tan im&ortante +ue se considera ace&table una &6rdida significativa de funcionalidad 7 de ca&acidad de administracin de los clientes a cambio de lograr el m9;imo nivel de seguridad4 8os servidores miembro de este entorno e,ecutan indo!s 2000 "erver o indo!s "erver 200#4 Advertir9 +ue en muc$os casos el entorno ""8E establece de forma e;&lcita el valor &redeterminado4 Debe tener en cuenta +ue esta configuracin afectar9 a la com&atibilidad: 7a +ue es &osible +ue se &roduzcan errores en las a&licaciones +ue intenten a,ustar localmente algunos valores de configuracin4 0or e,em&lo: algunas a&licaciones necesitan a,ustar las asignaciones de derec$os de usuario &ara conceder &rivilegios adicionales a las cuentas de servicios4 *omo las directivas de gru&o tienen Page 2 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx &rioridad sobre la directiva del e+ui&o local: se &ueden generar errores en estas o&eraciones4 Antes de im&lementar las configuraciones recomendadas en los e+ui&os de &roduccin: es&ecialmente las relativas al entorno ""8E: debe &robar minuciosamente todas las a&licaciones4 8a figura siguiente muestra los tres entornos de seguridad 7 los clientes com&atibles en cada uno de ellos4 2
Figura 4.1 Entornos de seguridad existentes planeados
8as organizaciones +ue deseen garantizar la seguridad de sus entornos mediante un enfo+ue &or fases &ueden o&tar &or em&ezar &or el nivel del entorno *liente $eredado 7 des&u6s ir migrando gradualmente a entornos m9s seguros a medida +ue va7an actualizando 7 &robando las a&licaciones 7 los e+ui&os cliente con configuraciones de seguridad m9s estrictas4 8a siguiente figura muestra cmo las &lantillas de seguridad del arc$ivo 4inf se utilizan como base &ara la directiva de lnea de base de servidores miembro 2-"F03 del entorno *liente de em&resa4 (n la figura tambi6n se indica una manera &osible de vincular 7 a&licar esta directiva a todos los servidores de una organizacin4 indo!s "erver 200# con "01 se &ro&orciona con los valores &redeterminados &ara crear un entorno seguro4 (n muc$os casos: en este ca&tulo se recomiendan configuraciones +ue difieren de los valores &redeterminados4 (n el ca&tulo tambi6n se a&lican valores &redeterminados es&ecficos &ara los tres entornos4 0ara obtener m9s informacin acerca de todas las configuraciones &redeterminadas: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP 1 : +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515>4 Page 3 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx #
Figura 4.! La plantilla de seguridad EC"#em$er Ser%er &aseline.in' se importa en la directi%a #S&() *ue se %incula a continuaci+n a la unidad organizati%a (,-) Ser%idores miem$ro
(n el resto de los ca&tulos de la gua se definen los &rocedimientos &ara reforzar la seguridad de funciones es&ecficas de servidor4 8as &rinci&ales funciones de servidor +ue se describen en esta gua son las siguientes: *ontroladores de dominio +ue inclu7en servicios D?" "ervidores de infraestructura +ue inclu7en servicios I?" 7 DG*0 "ervidores de arc$ivos "ervidores de im&resin "ervidores !eb +ue e,ecutan "ervicios de Internet Information "erver 2II"3 "ervidores de autenticacin de Internet de -icrosoft 2IA"3 "ervidores de "ervicios de *ertificate "erver 2*A3 Gosts de baluarte -uc$as de las siguientes configuraciones +ue a&arecen en la directiva -"F0 del entorno *liente de em&resa se a&lican tambi6n a estas funciones de servidor en los tres entornos definidos en esta gua4 8as &lantillas de seguridad est9n diseCadas de manera Hnica &ara satisfacer las necesidades de cada entorno &articular4 (n la siguiente tabla se muestran los nombres de las &lantillas de seguridad de lnea de base &ara los tres entornos4 .a$la 4.1 (lantillas de seguridad de l/nea de $ase para los tres entornos Page 4 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada 8*I-ember "erver Faseline4inf (*I-ember "erver Faseline4inf ""8EI-ember "erver Faseline4inf
(n el resto del ca&tulo se describen las configuraciones de seguridad +ue son comunes a los tres entornos 7: &or tanto: todas las &lantillas de seguridad de l/nea de $ase de ser%idores miem$ro4 8as &lantillas de seguridad de lnea de base constitu7en tambi6n la base &ara las &lantillas de seguridad de controladores de dominio +ue se definen en el ca&tulo 5: JDirectiva de lnea de base de controladores de dominioJ4 8as &lantillas de seguridad de la 'unci+n de controladores de dominio inclu7en la configuracin de lnea de base del )0% Directiva de gru&o de controladores de dominio: +ue est9 vinculado a la K% *ontroladores de dominio en los tres entornos4 (n el ca&tulo 2: J-ecanismos de seguridad de indo!s "erver 200#J: se &ro&orcionan instrucciones &aso a &aso &ara crear las K% 7 las directivas de gru&o 7: a continuacin: im&ortar la &lantilla de seguridad adecuada en cada )0%4 0ota: algunos de los &rocedimientos utilizados &ara reforzar la seguridad de los servidores no se &ueden automatizar mediante la directiva de gru&o4 (stos &rocedimientos se describen en la seccin J*onfiguracin de seguridad adicionalJ de este ca&tulo4 0rinci&io de la &9gina Directiva de lnea de base de Windows Server 200 8a configuracin en el nivel de la K% "ervidor miembro define los valores comunes a todas funciones de servidores miembro +ue se tratan en esta gua4 0ara a&licar esta configuracin: &uede crear un ob,eto )0% +ue est6 vinculado a la K% "ervidor miembro: a la +ue se le conoce como una directiva de lnea de base4 (l )0% automatizar9 la configuracin de los valores de seguridad es&ecficos en cada servidor4 Deber9 mover las cuentas de servidor a las K% secundarias corres&ondientes de la K% "ervidor miembro segHn la funcin de cada servidor4 8as siguientes configuraciones se describen segHn el orden en +ue a&arecen en la interfaz de usuario 2KI3 del com&lemento (ditor de configuracin de seguridad 2"*(3 de -icrosoft -anagement *onsole 2--*34 0rinci&io de la &9gina Page 5 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Directiva de auditora 8os administradores deben crear una directiva de auditora +ue defina los eventos +ue se identificar9n 7 +ue registre las actividades de los usuarios o e+ui&os en las categoras de eventos es&ecificadas4 Asimismo: &ueden controlar la actividad relacionada con la seguridad como: &or e,em&lo: los usuarios +ue tienen acceso a un ob,eto: si un usuario inicia o cierra sesin en un e+ui&o o si se realizan cambios en una configuracin de la directiva de auditora4 Antes de im&lementar una directiva de auditora: debe decidir las categoras de eventos +ue se van a auditar &ara el entorno4 8a configuracin de auditora seleccionada &or un administrador &ara las categoras de eventos definir9 la directiva de auditora de la organizacin4 Al definir la configuracin de auditora &ara las categoras de eventos es&ecficas: los administradores &ueden crear una directiva de auditora +ue se a,uste a las necesidades de seguridad de la organizacin4 "i no e;iste ninguna directiva de auditora: ser9 com&licado o im&osible determinar lo +ue sucedi durante un incidente de seguridad4 ?o obstante: si la configuracin de auditora se establece de modo +ue demasiadas actividades autorizadas generen eventos: el registro de seguridad se llenar9 de datos &oco Htiles4 (l ob,etivo de las siguientes recomendaciones 7 descri&ciones de configuracin es a7udarle a determinar lo +ue se va a su&ervisar &ara +ue los datos reco&ilados sean relevantes4 A menudo: los registros de errores son muc$o m9s informativos +ue los registros de aciertos: 7a +ue los errores suelen indicar &roblemas4 0or e,em&lo: el inicio de sesin correcto en un e+ui&o &or &arte de un usuario se considerara normal4 "in embargo: si alguien intenta iniciar sesin en un e+ui&o varias veces 7 no lo consigue: esto &uede indicar un intento de obtener acceso al e+ui&o con las credenciales de la cuenta de otro usuario4 8os registros de eventos registran los eventos del e+ui&o4 (n los sistemas o&erativos -icrosoft indo!s: $a7 registros de eventos inde&endientes &ara las a&licaciones: las eventos de seguridad 7 los eventos de sistema4 (l registro de seguridad registra eventos de auditora4 (l contenedor del registro de eventos de la directiva de gru&o se utiliza &ara definir los atributos relacionados con los registros de eventos de a&licacin: seguridad 7 sistemaD &or e,em&lo: el tamaCo m9;imo del registro: los derec$os de acceso &ara cada registro: 7 la configuracin 7 los m6todos de retencin4 Antes de im&lementar una directiva de auditora: las organizaciones deben determinar cmo reco&ilar9n: organizar9n 7 analizar9n los datos4 8os volHmenes grandes de datos de auditora no tienen muc$o valor si no $a7 un &lan &ara a&rovec$arlos4 Adem9s: el rendimiento se &uede ver afectado cuando se auditan redes de e+ui&os4 8a re&ercusin de una determinada combinacin de valores de configuracin &uede ser insignificante en el e+ui&o de un usuario final: &ero mu7 notable en un servidor con muc$a actividad4 0or lo tanto: debe &robar si el rendimiento se ver9 afectado antes de im&lementar la nueva configuracin de auditora en el entorno de &roduccin4 8a tabla siguiente inclu7e recomendaciones de configuracin de la directiva de auditora &ara los tres entornos definidos en esta gua4 (s &osible +ue observe +ue la Page 6 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx configuracin de la ma7ora de los valores es similar en los tres entornos4 8a informacin adicional de cada configuracin se &ro&orciona en las subsecciones +ue se muestran des&u6s de la tabla4 0uede configurar los valores de configuracin de la directiva de auditora en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad14irecti%as locales 14irecti%a de auditor/a 0ara obtener un resumen de la configuracin recomendada en esta seccin: consulte el libro de -icrosoft (;cel. Jindo!s "erver 200# "ecurit7 )uide "ettingsJ +ue se inclu7e con la versin descargable de esta gua4 0ara obtener m9s informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de las configuraciones descritas en esta seccin: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP 1 : +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515> 1 4 .a$la 4.! Con'iguraciones de la directi%a de auditor/a Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada Auditar eventos de inicio de sesin de cuenta *orrecto *orrecto *orrecto: (rrneo Auditar la administracin de cuentas *orrecto *orrecto *orrecto: (rrneo Auditar eventos de inicio de sesin *orrecto *orrecto *orrecto: (rrneo Auditar el acceso a ob,etos "in auditora "in auditora (rrneo Auditar el cambio de directivas *orrecto *orrecto *orrecto Auditar el uso de &rivilegios "in auditora "in auditora (rrneo Page 7 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Auditar el seguimiento de &rocesos "in auditora "in auditora "in auditora Auditar eventos del sistema *orrecto *orrecto *orrecto
Auditar eventos de inicio de sesin de cuenta (sta configuracin de directiva determina si se deben auditar los inicios o cierres de sesin de un usuario desde otro e+ui&o +ue valide la cuenta4 *uando una cuenta de usuario de dominio se autentica en un controlador de dominio: se genera 7 se registra un evento de inicio de sesin de cuenta en el registro de seguridad del controlador de dominio4 *uando un usuario local se autentica en un e+ui&o local: se genera 7 se registra un evento de inicio de sesin en el registro de seguridad local4 8os eventos de cierre de sesin de cuenta no se registran nunca4 5uditar e%entos de inicio de sesi+n de cuenta se configura &ara registrar los valores Correcto &ara las directivas de lnea de base de los entornos 8* 7 (*: 7 &ara registrar los eventos de ti&o Correcto 7 Err+neo &ara la directiva de lnea de base del entorno ""8E4 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin de directiva registra en el registro de seguridad4 (stos Id4 de evento &ueden ser Htiles si desean crear alertas &ersonalizadas &ara su&ervisar un con,unto de &rogramas de soft!are: como -icrosoft %&erations -anager 2-%-34 .a$la 4.6 E%entos de inicio de sesi+n de cuenta 7d. de e%ento 4escripci+n del e%ento L72 "e $a emitido 7 validado con 6;ito un vale del servicio de autenticacin 2A"34 (n indo!s "erver 200# con "01: este evento ser9 de ti&o Auditora de aciertos &ara las solicitudes correctas o de ti&o Auditora de errores &ara las solicitudes con errores4 L7# "e $a otorgado un vale del servicio de otorgamiento de vales 25)"34 Kn 5)" es un vale emitido &or el servicio 5)" de Merberos versin 5 +ue &ermite a un usuario autenticarse en un servicio es&ecfico del dominio4 indo!s "erver 200# con "01 registrar9 los aciertos 7 errores de este ti&o de evento4 Page 8 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx L7@ Kna entidad &rinci&al de seguridad $a renovado un vale A" o 5)"4 L75 (rror en la autenticacin &revia4 (ste evento se genera en un *entro de distribucin de claves 2MD*3 cuando un usuario escribe una contraseCa incorrecta4 L7L (rror de la &eticin del vale de autenticacin4 indo!s "erver 200# con "01 no genera este evento4 (ste evento se utiliza en otras versiones de indo!s &ara indicar un error en la autenticacin +ue no se debe al uso de credenciales incorrectas4 L77 ?o se $a otorgado un vale 5)"4 indo!s "erver 200# con "01 no genera este evento4 0ara este caso: indo!s "erver 200# con "01 utiliza un evento de ti&o Auditora de errores con el Id4 L724 L7A "e $a asignado con 6;ito una cuenta a una cuenta de dominio4 LA1 (rror de inicio de sesin4 "e $a intentado un inicio de sesin de cuenta de dominio4 (ste evento slo lo generan los controladores de dominio4 LA2 Kn usuario se $a vuelto a conectar a una sesin de "ervicios de 5erminal "erver desconectada4 LA# Kn usuario $a desconectado una sesin de "ervicios de 5erminal "erver: &ero no la $a cerrado4
Auditar la administracin de cuentas (sta configuracin de directiva determina si se deben auditar todos los eventos de administracin de cuentas de un e+ui&o4 Algunos e,em&los de eventos de administracin de cuentas: "e crea: cambia o elimina una cuenta de usuario o gru&o4 *ambia el nombre de una cuenta de usuario: o bien: se desactiva o se activa una4 "e establece o cambia una contraseCa4 Page 9 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8as organizaciones deben ser ca&aces de determinar +ui6n crea: modifica o elimina tanto las cuentas locales como las de dominio4 8os cambios no autorizados &odran indicar cambios errneos realizados &or un administrador +ue no com&rende cmo seguir las directivas de la organizacin: &ero tambi6n un ata+ue deliberado4 0or e,em&lo: los eventos de error de administracin de cuentas suelen indicar intentos &or &arte de un administrador de nivel inferior 2o de un atacante +ue $a com&rometido la cuenta de un administrador de nivel inferior3 de elevar sus &rivilegios4 8os registros &ueden ser Htiles &ara determinar las cuentas +ue un atacante $a modificado 7 creado4 5uditar la administraci+n de cuentas se configura &ara registrar los valores Correcto &ara las directivas de lnea de base de los entornos 8* 7 (*: 7 &ara registrar los valores de ti&o Correcto 7 Err+neo &ara la directiva de lnea de base del entorno ""8E4 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin de directiva registra en el registro de seguridad4 (stos Id4 de evento &ueden ser Htiles cuando se desean crear alertas &ersonalizadas &ara su&ervisar un con,unto de &rogramas de soft!are: como -%-4 8a ma7ora del soft!are de administracin de o&eraciones se &uede &ersonalizar con secuencias de comandos &ara ca&turar o marcar eventos +ue se basan en estos Id4 de evento4 .a$la 4.4 E%entos de administraci+n de cuentas 7d. de e%ento 4escripci+n del e%ento L2@ "e $a creado una cuenta de usuario4 L27 "e $a modificado una contraseCa de usuario4 L2A "e $a configurado una contraseCa de usuario4 L#0 "e $a eliminado una cuenta de usuario4 L#1 "e $a creado un gru&o global4 L#2 "e $a agregado un miembro a un gru&o global4 L## "e $a +uitado un miembro de un gru&o global4 Page 10 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx L#@ "e $a eliminado un gru&o global4 L#5 "e $a creado un nuevo gru&o local4 L#L "e $a agregado un miembro a un gru&o local4 L#7 "e $a +uitado un miembro de un gru&o local4 L#A "e $a eliminado un gru&o local4 L#> "e $a modificado una cuenta de gru&o local4 L@1 "e $a modificado una cuenta de gru&o global4 L@2 "e $a modificado una cuenta de usuario4 L@# "e $a modificado una directiva de dominio4 L@@ "e $a blo+ueado autom9ticamente una cuenta de usuario4 L@5 "e $a creado una cuenta de e+ui&o4 L@L "e $a modificado una cuenta de e+ui&o4 L@7 "e $a eliminado una cuenta de e+ui&o4 L@A "e $a creado un gru&o de seguridad local con la seguridad des$abilitada4 0ota: "(*K'I5NODI"AF8(D formalmente significa +ue este gru&o no &uede usarse &ara conceder &ermisos en las com&robaciones de acceso4 L@> "e $a modificado un gru&o de seguridad local con la seguridad des$abilitada4 Page 11 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx L50 "e $a agregado un miembro a un gru&o de seguridad local con la seguridad des$abilitada4 L51 "e $a +uitado un miembro de un gru&o de seguridad local con la seguridad des$abilitada4 L52 "e $a eliminado un gru&o local con la seguridad des$abilitada4 L5# "e $a creado un gru&o global con la seguridad des$abilitada4 L5@ "e $a modificado un gru&o global con la seguridad des$abilitada4 L55 "e $a agregado un miembro a un gru&o global con la seguridad des$abilitada4 L5L "e $a +uitado un miembro de un gru&o global con la seguridad des$abilitada4 L57 "e $a creado un gru&o global con la seguridad des$abilitada4 L5A "e $a creado un gru&o universal con la seguridad $abilitada4 L5> "e $a modificado un gru&o universal con la seguridad $abilitada4 LL0 "e $a agregado un miembro a un gru&o universal con la seguridad $abilitada4 LL1 "e $a +uitado un miembro de un gru&o universal con la seguridad $abilitada4 LL2 "e $a eliminado un gru&o universal con la seguridad $abilitada4 LL# "e $a creado un gru&o universal con la seguridad des$abilitada4 LL@ "e $a modificado un gru&o universal con la seguridad des$abilitada4 Page 12 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx LL5 "e $a agregado un miembro a un gru&o universal con la seguridad des$abilitada4 LLL "e $a +uitado un miembro de un gru&o universal con la seguridad des$abilitada4 LL7 "e $a eliminado un gru&o universal con la seguridad des$abilitada4 LLA "e $a modificado un ti&o de gru&o4 LA@ "e $a establecido el descri&tor de seguridad de los miembros del gru&o administrativo4 0ota: en un controlador de dominio: cada L0 minutos: un sub&roceso en segundo &lano busca todos los miembros de los gru&os administrativos 2como los administradores de dominio: em&resariales 7 del es+uema3 7 les a&lica un descri&tor fi,o de seguridad4 (ste evento +ueda registrado4 LA5 "e $a modificado el nombre de una cuenta4
Auditar eventos de inicio de sesin (sta configuracin de directiva determina si se debe auditar cada inicio 7 cierre de sesin de usuario en un e+ui&o4 5uditar e%entos de inicio de sesi+n genera registros en los controladores de dominio 7 en los e+ui&os locales &ara su&ervisar la actividad de las cuentas de dominio 7 de las cuentas locales: res&ectivamente4 "i se configura 5uditar e%entos de inicio de sesi+n como Sin auditor/a: ser9 difcil o im&osible determinar +u6 usuario $a iniciado o intentado iniciar una sesin en los e+ui&os de la organizacin4 "i se $abilita el valor Correcto &ara 5uditar e%entos de inicio de sesi+n en un miembro de dominio: se generar9 un evento cada vez +ue un usuario inicie sesin en la red: inde&endientemente del lugar de la red en el +ue residan las cuentas4 "i el usuario inicia una sesin en una cuenta local 7 5uditar e%entos de inicio de sesi+n de cuenta est9 configurado como 8a$ilitado: el inicio de sesin del usuario generar9 dos eventos4 Aun+ue no modifi+ue los valores &redeterminados de esta configuracin de directiva: no $abr9 dis&onible ningHn registro de auditora +ue &ueda analizar des&u6s de un incidente de seguridad4 5uditar e%entos de inicio de sesi+n se configura &ara registrar los valores Correcto en las directivas de lnea de base de los entornos 8* 7 (*: 7 &ara registrar los valores de ti&o Correcto 7 Err+neo &ara la directiva ""8E4 Page 13 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin de directiva registra en el registro de seguridad4 .a$la 4.9 5uditar e%entos de inicio de sesi+n 7d. de e%ento 4escripci+n del e%ento 52A Kn usuario $a iniciado una sesin con 6;ito en un e+ui&o4 52> (rror de inicio de sesin4 (l intento de inicio de sesin se $a realizado con un nombre de usuario desconocido o con un nombre de usuario conocido 7 una contraseCa incorrecta4 5#0 (rror de inicio de sesin4 (l intento de inicio de sesin se $a realizado fuera del tiem&o &ermitido4 5#1 (rror de inicio de sesin4 "e $a intentado iniciar una sesin con una cuenta des$abilitada4 5#2 (rror de inicio de sesin4 "e $a intentado iniciar una sesin con una cuenta caducada4 5## (rror de inicio de sesin4 (l usuario +ue $a intentado el inicio de sesin no cuenta con &ermiso &ara iniciar la sesin en este e+ui&o4 5#@ (rror de inicio de sesin4 (l usuario $a intentado iniciar la sesin con un ti&o de contraseCa no &ermitido4 5#5 (rror de inicio de sesin4 Ga caducado la contraseCa corres&ondiente a la cuenta es&ecificada4 5#L (rror de inicio de sesin4 (l servicio de inicio de cuenta de red no se encuentra activo4 5#7 (rror de inicio de sesin4 (rror en el intento de inicio de sesin &or otras razones4 Page 14 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0ota: en algunos casos: el motivo del error de inicio de sesin &uede ser desconocido4 5#A Kn usuario $a cerrado la sesin4 5#> (rror de inicio de sesin4 8a cuenta se $a blo+ueado en el momento en el +ue se $a intentado iniciar la sesin4 5@0 Kn usuario $a iniciado la sesin correctamente en la red4 5@1 "e $a com&letado la autenticacin IM( 2Internal Me7 (;c$ange3 en modo &rinci&al entre el e+ui&o local 7 la identidad rec&roca 2estableciendo una asociacin de seguridad3: o el modo r9&ido $a establecido un canal de datos4 5@2 "e $a finalizado el canal de datos4 5@# "e $a finalizado el modo &rinci&al4 0ota: esto &uede ocurrir &or+ue $a caducado el lmite de tiem&o de la asociacin de seguridad 2el valor &redeterminado es de oc$o $oras3: $a7 cambios en la directiva o se $a &roducido una finalizacin rec&roca4 5@@ "e $a &roducido un error en la autenticacin en modo &rinci&al &or+ue la otra &arte no $a &ro&orcionado un certificado v9lido o no se $a validado la firma4 5@5 "e $a &roducido un error en la autenticacin de modo &rinci&al debido a un error del &rotocolo de autenticacin Merberos o a una contraseCa no v9lida4 5@L "e $a &roducido un error en el establecimiento de la asociacin de seguridad IM( &or+ue la otra &arte $a enviado una &ro&uesta no v9lida4 "e $a recibido un &a+uete +ue contena datos no v9lidos4 5@7 (rror durante una negociacin IM(4 5@A (rror de inicio de sesin4 (l identificador de seguridad 2"ID3 de un dominio de confianza no coincide con el "ID del dominio de la cuenta del cliente4 Page 15 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5@> (rror de inicio de sesin4 "e $an filtrado todos los "ID corres&ondientes a los es&acios de nombres +ue no son de confianza durante una autenticacin a trav6s de bos+ues4 550 -ensa,e de notificacin +ue &odra indicar un &osible ata+ue de negacin de servicio 2Do"34 551 Kn usuario $a iniciado el &roceso de cierre de sesin4 552 Kn usuario $a iniciado correctamente una sesin en un e+ui&o mediante credenciales e;&lcitas mientras todava mantena abierta una sesin como un usuario diferente4 LA2 Kn usuario se $a conectado de nuevo a una sesin de servidor de terminal desconectada4 LA# Kn usuario $a desconectado una sesin de "ervicios de 5erminal "erver: &ero no la $a cerrado4 0ota: este evento se genera cuando un usuario est9 conectado a una sesin de "ervicios de 5erminal "erver en la red4 A&arece en el servidor de la terminal4
Auditar el acceso a objetos (sta configuracin de directiva no &rovocar9 &or s misma la auditora de ningHn evento4 5uditar el acceso a o$:etos determina si se debe auditar el acceso de un usuario a un ob,eto 2&or e,em&lo: un arc$ivo: una car&eta: una clave del 'egistro o una im&resora3 si $a7 es&ecificada una lista de control de acceso del sistema 2"A*834 Kna lista de control de acceso del sistema se com&one de entradas de control de acceso 2A*(3: cada una de las cuales contiene tres datos: 8a entidad de seguridad &rinci&al 2el usuario: e+ui&o o gru&o3 +ue se va a auditar4 (l ti&o de acceso es&ecfico +ue se va a auditar: denominado m9scara de acceso4 Kn indicador +ue seCala si se deben auditar eventos de acceso errneos: eventos de acceso correctos o ambos4 Page 16 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx "i se configura 5uditar el acceso a o$:etos &ara registrar los valores Correcto: se generar9 una entrada de auditora cada vez +ue un usuario obtenga acceso a un ob,eto con una "A*8 es&ecificada4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora cada vez +ue un usuario intente obtener acceso a un ob,eto con una "A*8 es&ecificada 7 no lo consiga4 Al configurar las "A*8: las organizaciones deben definir slo las acciones +ue desean +ue se $abiliten4 0or e,em&lo: es &osible +ue desee $abilitar las configuraciones de auditora Escri$ir datos 5nexar datos en los arc$ivos e,ecutables &ara realizar un seguimiento del cambio o reem&lazo de dic$os arc$ivos: 7a +ue los virus inform9ticos: gusanos 7 caballos de 5ro7a atacar9n normalmente los arc$ivos e,ecutables4 De forma similar: &uede estar interesado en el seguimiento del acceso o cambio de los documentos confidenciales4 5uditar el acceso a o$:etos se configura en el valor &redeterminado Sin auditor/a en la directiva de lnea de base &ara los entornos 8* 7 (*4 "in embargo: esta configuracin de directiva se establece &ara registrar los valores Err+neos en la directiva de lnea de base del entorno ""8E4 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin de directiva registra en el registro de seguridad4 .a$la 4.; E%entos de acceso a o$:etos 7d. de e%ento 4escripci+n del e%ento 5L0 "e $a otorgado acceso a un ob,eto e;istente4 5L2 "e $a cerrado un identificador &ara un ob,eto4 5L# "e $a intentado abrir un ob,eto con la intencin de eliminarlo4 0ota: los sistemas de arc$ivos utilizan este evento cuando se es&ecifica el indicador EI8(OD(8(5(O%?O*8%"( en *reatefile234 5L@ "e $a eliminado un ob,eto &rotegido4 5L5 "e $a otorgado acceso a un ti&o de ob,eto e;istente4 5L7 "e $a utilizado un &ermiso asociado a un identificador4 Page 17 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0ota: se crea un identificador con determinados &ermisos concedidos: como de lectura 7 escritura4 *uando se utiliza el identificador: se genera un m9;imo de una auditora &ara cada uno de los &ermisos utilizados4 5LA "e $a intentado crear un vnculo fsico a un arc$ivo +ue se est9 auditando4 5L> (l administrador de recursos de la a&licacin Administrador de autorizacin $a intentado crear un conte;to cliente4 570 Kn cliente $a intentado obtener acceso a un ob,eto4 0ota: se generar9 un evento &or cada o&eracin +ue se intente realizar en el ob,eto4 571 8a a&licacin Administrador de autorizacin $a eliminado el conte;to cliente4 572 (l Administrador de autorizacin $a inicializado la a&licacin4 772 (l Administrador de certificados $a denegado una &eticin &endiente de certificado4 77# 8os "ervicios de *ertificate "erver recibieron una solicitud de certificado reenviada4 77@ 8os "ervicios de *ertificate "erver revocaron un certificado4 775 8os "ervicios de *ertificate "erver recibieron una solicitud de &ublicacin de la lista de revocacin de certificados 2*'834 77L 8os "ervicios de *ertificate "erver $an &ublicado la *'84 777 "e $a realizado una e;tensin de &eticin de certificado4 77A *ambio en uno o m9s de los atributos de solicitudes de certificados4 Page 18 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 77> 8os "ervicios de *ertificate "erver recibieron una solicitud de cierre4 7A0 "e inici la co&ia de seguridad de "ervicios de *ertificate "erver4 7A1 "e com&let la co&ia de seguridad de "ervicios de *ertificate "erver4 7A2 "e inici la restauracin de "ervicios de *ertificate "erver4 7A# "e com&let la restauracin de "ervicios de *ertificate "erver4 7A@ "e iniciaron los "ervicios de *ertificate "erver4 7A5 "e detuvieron los "ervicios de *ertificate "erver 7AL *ambio en los &ermisos de seguridad de "ervicios de *ertificate "erver4 7A7 8os "ervicios de *ertificate "erver recu&eraron una clave arc$ivada4 7AA 8os "ervicios de *ertificate "erver im&ortaron un certificado a su corres&ondiente base de datos4 7A> *ambio en el filtro de auditora de "ervicios de *ertificate "erver4 7>0 8os "ervicios de *ertificate "erver recibieron una solicitud de certificado4 7>1 8os "ervicios de *ertificate "erver a&robaron una solicitud de certificado 7 emitieron un certificado4 7>2 8os "ervicios de *ertificate "erver denegaron una solicitud de certificado4 7># 8os "ervicios de *ertificate "erver $an establecido el estado de una solicitud de certificado en 0endiente4 Page 19 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 7>@ *ambio en la configuracin del administrador de certificados corres&ondiente a "ervicios de *ertificate "erver4 7>5 *ambio en una entrada de configuracin de "ervicios de *ertificate "erver4 7>L "e $a modificado una &ro&iedad de los "ervicios de *ertificate "erver4 7>7 8os "ervicios de *ertificate "erver arc$ivaron una clave4 7>A 8os "ervicios de *ertificate "erver im&ortaron 7 arc$ivaron una clave4 7>> 8os "ervicios de *ertificate "erver &ublicaron el certificado de la entidad de certificacin 2*A3 en Active Director74 A00 "e $an eliminado una o varias filas de la base de datos de certificados4 A01 "e&aracin de funciones activada4
Auditar el cambio de directivas (sta configuracin de directiva determina si se debe auditar cada caso en +ue se &roduzca un cambio en las directivas de asignacin de derec$os de usuario: auditora o confianza4 "i se configura 5uditar el cam$io de directi%as &ara registrar los valores Correcto: se generar9 una entrada de auditora &ara cada cambio +ue se realice en las directivas de asignacin de derec$os de usuario: auditora o confianza4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora con cada intento de cambiar las directivas de asignacin de derec$os de usuario: auditora o confianza +ue no se consiga4 8a configuracin recomendada le &ermitir9 ver los &rivilegios de cuenta +ue un atacante intente elevarD &or e,em&lo: si intenta agregar el &rivilegio 4epurar programas o <ealizar copias de seguridad de archi%os directorios4 5uditar el cam$io de directi%as se configura &ara registrar los valores Correcto en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Actualmente: el valor de configuracin Err+neo no ca&tura eventos relevantes4 Page 20 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin de directiva registra en el registro de seguridad4 .a$la 4.= E%entos de 5uditar el cam$io de directi%as 7d. de e%ento 4escripci+n del e%ento L0A "e $a asignado un derec$o de usuario4 L0> "e $a +uitado un derec$o de usuario4 L10 "e $a creado una relacin de confianza con otro dominio4 L11 "e $a +uitado una relacin de confianza con otro dominio4 L12 "e $a modificado una directiva de auditora4 L1# "e $a iniciado un agente de directiva I0"ec 2&rotocolo de seguridad de Internet34 L1@ "e $a des$abilitado un agente de directiva I0"ec4 L15 Kn agente de directiva I0"ec $a cambiado4 L1L Kn agente de directiva I0"ec $a detectado un error &otencialmente grave4 L17 Kna directiva de Merberos versin 5 $a cambiado4 L1A Kna directiva de recu&eracin de datos cifrados $a cambiado4 L20 "e $a modificado una relacin de confianza con otro dominio4 L21 "e $a otorgado a una cuenta acceso al sistema4 Page 21 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx L22 "e $a +uitado el acceso al sistema desde una cuenta4 L2# 8a directiva de auditora se $a establecido de forma individual &ara cada usuario4 L25 8a directiva de auditora se $a actualizado de forma individual &ara cada usuario4 7LA "e $a detectado una colisin entre un elemento de es&acio de nombres de un bos+ue 7 un elemento de es&acio de nombres de otro bos+ue4 0ota: cuando un elemento de es&acio de nombres de un bos+ue se su&er&one a un elemento de otro bos+ue: se &uede &roducir ambigPedad en la resolucin de nombres de los elementos de es&acio de nombres4 (sta coincidencia tambi6n se conoce como colisin4 ?o todos los &ar9metros son v9lidos &ara todos los ti&os de entrada4 0or e,em&lo: los cam&os como el nombre D?": el nombre ?etFI%" 7 el "ID no son v9lidos &ara una entrada del ti&o Q5o&8evel?ameQ4 7L> "e $a agregado informacin de confianza del bos+ue4 0ota: este mensa,e de evento se genera cuando la informacin de confianza del bos+ue se actualiza 7 se agregan una o varias entradas4 "e genera un mensa,e de evento &or cada entrada agregada: eliminada o modificada4 "i se agregan: eliminan o modifican varias entradas en una actualizacin individual de la informacin de confianza del bos+ue: se asigna a todos los mensa,es de evento generados un identificador Hnico e;clusivo denominado Id4 de o&eracin4 (sta funcionalidad le &ermite saber +ue los diversos mensa,es de evento generados son el resultado de una sola o&eracin4 ?o todos los &ar9metros son v9lidos &ara todos los ti&os de entrada4 0or e,em&lo: los &ar9metros como el nombre D?": el nombre ?etFI%" 7 el "ID no son v9lidos &ara una entrada del ti&o J5o&8evel?ameJ4 770 "e $a eliminado informacin de confianza del bos+ue4 0ota: consulte la descri&cin del evento 7L>4 771 "e $a modificado informacin de confianza del bos+ue4 0ota: consulte la descri&cin del evento 7L>4 Page 22 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx A05 (l servicio de registro de eventos $a ledo la configuracin del registro de seguridad de una sesin4
Auditar el uso de privilegios (sta configuracin de directiva determina si se debe auditar cada caso en el +ue un usuario e,ecute un derec$o de usuario4 "i se configura 5uditar el uso de pri%ilegios &ara registrar los valores Correcto: se generar9 una entrada de auditora cada vez +ue un usuario e,erza correctamente un derec$o de usuario4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora cada vez +ue no se consiga e,ercer un derec$o de usuario4 Aun+ue se configure 5uditar el uso de pri%ilegios: no se generar9n auditoras cuando se e,erzan los siguientes derec$os de usuario: 7a +ue estos derec$os generan muc$os eventos en el registro de seguridad4 (l rendimiento de los e+ui&os &robablemente se ver9 afectado si se auditan estos derec$os de usuario: %mitir la com&robacin de recorrido De&urar &rogramas *rear un ob,eto 5o1en 'eem&lazar un to1en de nivel de &roceso )enerar auditoras de seguridad 'ealizar co&ias de seguridad de arc$ivos 7 directorios 'estaurar arc$ivos 7 directorios 0ota: si desea auditar estos derec$os de usuario: debe $abilitar la o&cin de seguridad 5uditor/a: auditar el uso del pri%ilegio de copia de seguridad restauraci+n en la directiva de gru&o4 5uditar el uso de pri%ilegios se encuentra a la iz+uierda del valor &redeterminado Sin auditor/a de la directiva de lnea de base de los entornos 8* 7 (*4 "in embargo: esta configuracin de directiva se establece &ara registrar los valores Err+neos en la directiva de lnea de base del entorno ""8E4 (l uso con errores de un derec$o de usuario es un indicador de un &roblema de red general 7: frecuentemente: &uede seCalar un intento de infraccin de seguridad4 8as organizaciones deben configurar 5uditar el uso de pri%ilegios en 8a$ilitar slo si $a7 un motivo em&resarial es&ecfico +ue lo ,ustifi+ue4 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin registra en el registro de seguridad4 Page 23 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx .a$la 4.> E%entos de uso de pri%ilegios 7d. de e%ento 4escripci+n del e%ento 57L "e $an agregado los &rivilegios es&ecificados al testigo de acceso de un usuario4 0ota: este evento se genera cuando el usuario inicia sesin4 577 Kn usuario $a intentado realizar una o&eracin &rivilegiada de servicio del sistema4 57A "e $an utilizado &rivilegios en un identificador 7a abierto de un ob,eto &rotegido4 Auditar el seguimiento de procesos (sta configuracin de directiva determina si se debe auditar informacin de seguimiento detallada de eventos como la activacin de &rogramas: la salida de &rocesos: la du&licacin de identificadores 7 el acceso indirecto a ob,etos4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora cada vez +ue se consiga realizar un seguimiento del &roceso4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora cada vez +ue no se consiga realizar un seguimiento del &roceso4 5uditar el seguimiento de procesos genera un elevado nHmero de eventosD &or ello: se configura normalmente en Sin auditor/a: 7a +ue est9 en la directiva de lnea de base de los tres entornos definidos en esta gua4 "in embargo: esta configuracin de directiva &uede ser mu7 Htil durante la res&uesta a un incidente &or+ue &ro&orciona un registro detallado de los &rocesos +ue se iniciaron 7 del momento de inicio de cada uno de ellos4 8a tabla siguiente inclu7e los eventos de seguridad im&ortantes +ue esta configuracin registra en el registro de seguridad4 .a$la 4.? E%entos de seguimiento de procesos 7d. de e%ento 4escripci+n del e%ento 5>2 "e $a creado un nuevo &roceso4 Page 24 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5># "e $a salido de un &roceso4 5>@ "e $a du&licado un identificador &ara un ob,eto4 5>5 "e $a obtenido acceso indirecto a un ob,eto4 5>L "e $a realizado una co&ia de seguridad de una clave de sesin de &roteccin de datos4 0ota: las rutinas *r7&t0rotectData 7 *r7&tKn&rotectData 7 el sistema de cifrado de arc$ivos 2(E"3 utilizan la clave de sesin de &roteccin4 "e realiza una co&ia de seguridad de la clave de sesin de &roteccin cada vez +ue se crea una nueva 2la configuracin &redeterminada es de >0 das34 )eneralmente: es un controlador de dominio el +ue realiza la co&ia de la clave4 5>7 "e $a recu&erado una clave de sesin de &roteccin de datos desde un servidor de recu&eracin4 5>A "e $an &rotegido los datos auditables4 5>> "e $an des&rotegido los datos auditables4 L00 "e $a asignado un testigo &rinci&al a un &roceso4 L01 Kn usuario $a intentado instalar un servicio4 L02 "e $a creado una tarea del &rogramador4
Auditar eventos del sistema (sta configuracin de directiva determina si se debe auditar el reinicio o cierre de un e+ui&o realizado &or un usuario o si se &roduce un evento +ue afecta a la seguridad del e+ui&o o al registro de seguridad4 "i se configura &ara registrar los valores Correcto: se generar9 una entrada de auditora cuando se e,ecute correctamente un evento del sistema4 "i se configura &ara registrar los valores Err+neo: se generar9 una entrada de auditora cuando se intente e,ecutar un evento del sistema sin conseguirlo4 Page 25 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8a tabla siguiente inclu7e los eventos de ti&o *orrecto m9s Htiles &ara esta configuracin4 .a$la 4.1@ #ensa:es de e%entos del sistema para 5uditar e%entos del sistema 7d. de e%ento 4escripci+n del e%ento 512 "e est9 iniciando indo!s4 51# "e est9 a&agando indo!s4 51@ 8a autoridad de seguridad local $a cargado un &a+uete de autenticacin4 515 "e $a registrado un &roceso de inicio de sesin confiable en la autoridad de seguridad local4 51L "e $an agotado los recursos internos asignados &ara &oner en cola de es&era los mensa,es de eventos de seguridad: lo cual &roduce la &6rdida de algunos mensa,es de eventos de seguridad4 517 "e $a lim&iado el registro de auditora4 51A (l administrador de cuentas de seguridad $a cargado un &a+uete de notificacin4 51> Kn &roceso utiliza un &uerto 80* 2llamada a &rocedimiento local3 no v9lido &ara $acerse &asar &or un cliente 7 res&onder: leer o escribir en un es&acio de direccin de cliente4 520 "e $a modificado la $ora del sistema4 0ota: esta auditora a&arece normalmente dos veces4 0rinci&io de la &9gina !signaciones de derec"os de usuario 8as asignaciones de derec$os de usuario &ro&orcionan a los usuarios 7 gru&os derec$os o &rivilegios de inicio de sesin en los e+ui&os de la organizacin4 Kn Page 26 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx e,em&lo de derec$o de inicio de sesin es el derec$o de iniciar sesin en un e+ui&o de forma interactiva4 Kn e,em&lo de &rivilegio consistira en el derec$o de a&agar el sistema4 5anto uno como otro ti&o los asigna el administrador a los usuarios individuales o gru&os como &arte de la configuracin de seguridad del e+ui&o4 0ota: en esta seccin: se utiliza J?o est9 definidoJ &ara referirse Hnicamente a los usuariosD los administradores siguen teniendo el derec$o de usuario4 8os administradores locales &ueden realizar cambios: &ero cual+uier &ar9metro de Directiva de gru&o basado en el dominio los anular9 la &r;ima vez +ue las directivas de gru&o se actualicen o se vuelvan a a&licar4 0uede establecer los valores de configuracin de las asignaciones de derec$os de usuario en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad14irecti%as locales 15signaci+n de derechos de usuario 8as asignaciones de derec$os de usuario &redeterminadas difieren segHn los diversos ti&os de servidores de la organizacin4 0or e,em&lo: indo!s "erver 200# asigna derec$os diferentes a los gru&os integrados de los servidores miembro 7 de los controladores de dominio4 2(n la siguiente lista no se detallan las similitudes e;istentes entre los gru&os integrados de los distintos ti&os de servidor43 Ser%idores miem$ro ,suarios a%anzados4 0oseen la ma7ora de las ca&acidades administrativas con algunas restricciones4 0ueden e,ecutar a&licaciones $eredadas adem9s de a&licaciones certificadas &ara indo!s "erver 200# con "01 o indo!s B04 8elpSer%icesAroup4 (s el gru&o del *entro de a7uda 7 so&orte t6cnico4 "u&&ortO#AA>@5a0 es miembro de este gru&o de forma &redeterminada4 .elnetClients4 8os miembros de este gru&o tienen acceso al servidor 5elnet de la red4 Controladores de dominio -peradores de ser%idores4 8os miembros de este gru&o &ueden administrar servidores de dominio4 Ser%icios de licencias de .erminal Ser%er4 8os miembros de este gru&o tienen acceso a los servidores de licencias de 5erminal "erver de la red4 Arupo de acceso de autorizaci+n de 2indo3s4 8os miembros de este gru&o tienen acceso al atributo inform9tico to1en)rou&s)lobalAndKniversal en ob,etos de usuario4 Page 27 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx (l gru&o 7n%itados 7 las cuentas de usuario Invitado 7 "u&&ortO#AA>@5a0 tienen "ID Hnicos entre diferentes dominios4 0or lo tanto: +uiz9s sea necesario modificar esta directiva de gru&o &ara las asignaciones de derec$os de usuario en los e+ui&os donde slo e;ista el gru&o de destino es&ecfico4 Asimismo: las &lantillas de directivas se &ueden editar individualmente a fin de incluir los gru&os adecuados dentro de los arc$ivos 4inf4 0or e,em&lo: se &uede crear una directiva de gru&o del controlador de dominio en un controlador de dominio +ue se encuentre en un entorno de &rueba4 0ota: a causa de +ue e;isten "ID Hnicos entre los miembros del gru&o 7n%itados: "u&&ortO#AA>@5a0 e Invitado: algunas configuraciones utilizadas &ara reforzar la seguridad de los servidores no se &uede automatizar mediante las &lantillas de seguridad incluidas en esta gua4 (stas configuraciones se describen en la seccin J*onfiguracin de seguridad adicionalJ de este ca&tulo4 (n esta seccin se &ro&orcionan detalles sobre la configuracin recomendada de asignaciones de derec$os de usuario de la directiva -"F0 &ara los tres entornos definidos en esta gua4 0ara obtener un resumen de las configuraciones recomendadas en esta seccin: consulte el libro de -icrosoft (;cel Jindo!s "erver 200# "ecurit7 )uide "ettingsJ +ue se inclu7e con la versin descargable de esta gua4 0ara obtener m9s informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de las configuraciones descritas en esta seccin: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP4 8a tabla siguiente inclu7e recomendaciones de configuracin de las asignaciones de derec$os de usuario &ara los tres entornos definidos en esta gua4 8a informacin adicional de cada configuracin se &ro&orciona en las subsecciones +ue se muestran des&u6s de la tabla4 .a$la 4.11 <ecomendaciones de con'iguraci+n de las asignaciones de derechos de usuario Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada 5ener acceso a este e+ui&o desde la red ?o est9 definido ?o est9 definido Administradores: Ksuarios autenticados: *%?5'%8AD%'(" D( D%-I?I% D( (-0'("A Page 28 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Actuar como &arte del sistema o&erativo ?o est9 definido ?o est9 definido ?inguno A,ustar las cuotas de memoria &ara un &roceso ?o est9 definido ?o est9 definido Administradores: "('RI*I% D( '(D: "('RI*I% 8%*A8 0ermitir el inicio de sesin local Administradores: %&eradores de co&ia de seguridad: Ksuarios avanzados Administradores: %&eradores de co&ia de seguridad: Ksuarios avanzados Administradores 0ermitir inicio de sesin a trav6s de "ervicios de 5erminal "erver Administradores 7 usuarios de e+ui&os de escritorio remotos Administradores 7 usuarios de e+ui&os de escritorio remotos Administradores 'ealizar co&ias de seguridad de arc$ivos 7 directorios ?o est9 definido ?o est9 definido Administradores %mitir la com&robacin de recorrido ?o est9 definido ?o est9 definido Ksuarios autenticados *ambiar la $ora del sistema ?o est9 definido ?o est9 definido Administradores *rear un arc$ivo de &aginacin ?o est9 definido ?o est9 definido Administradores *rear un ob,eto 5o1en ?o est9 definido ?o est9 definido ?inguno *rear ob,etos globales ?o est9 definido ?o est9 definido Administradores: "('RI*I% Page 29 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx *rear ob,etos com&artidos &ermanentes ?o est9 definido ?o est9 definido ?inguno De&urar &rogramas ?o est9 definido Administradores ?inguno Denegar el acceso desde la red a este e+ui&o I?I*I% D( "("IS? A?S?I-%D InvitadosD "u&&ortO#AA>@5a0D todas las cuentas de servicios +ue ?% sean del sistema o&erativo I?I*I% D( "("IS? A?S?I-%D InvitadosD "u&&ortO#AA>@5a0D todas las cuentas de servicios +ue ?% sean del sistema o&erativo I?I*I% D( "("IS? A?S?I-%D InvitadosD "u&&ortO#AA>@5a0D todas las cuentas de servicios +ue ?% sean del sistema o&erativo Denegar el inicio de sesin como traba,o &or lotes InvitadosD "u&&ortO#AA>@5a0 InvitadosD "u&&ortO#AA>@5a0 InvitadosD "u&&ortO#AA>@5a0D Denegar el inicio de sesin como servicio ?o est9 definido ?o est9 definido ?inguno Denegar el inicio de sesin localmente ?o est9 definido ?o est9 definido InvitadosD "u&&ortO#AA>@5a0D Denegar inicio de sesin a trav6s de "ervicios de 5erminal "erver Invitados Invitados Invitados Gabilitar la o&cin De confianza &ara la delegacin en las cuentas de usuario 7 de e+ui&o ?o est9 definido ?o est9 definido Administradores Page 30 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Eorzar el a&agado de un sistema remoto ?o est9 definido ?o est9 definido Administradores )enerar auditoras de seguridad ?o est9 definido ?o est9 definido "('RI*I% D( '(D: "('RI*I% 8%*A8 "u&lantar a un cliente des&u6s de la autenticacin ?o est9 definido ?o est9 definido Administradores: "('RI*I% Aumentar la &rioridad de &rogramacin ?o est9 definido ?o est9 definido Administradores *argar 7 descargar controladores de dis&ositivo ?o est9 definido ?o est9 definido Administradores Flo+uear &9ginas en la memoria ?o est9 definido ?o est9 definido ?inguno Iniciar sesin como &roceso &or lotes ?o est9 definido ?o est9 definido ?o est9 definido Iniciar sesin como servicio ?o est9 definido ?o est9 definido "('RI*I% D( '(D Administrar registros de auditora 7 de seguridad ?o est9 definido ?o est9 definido Administradores Page 31 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx -odificar valores de entorno del firm!are ?o est9 definido ?o est9 definido Administradores 'ealizar tareas de mantenimiento de volHmenes ?o est9 definido ?o est9 definido Administradores Gacer &erfil de un solo &roceso ?o est9 definido ?o est9 definido Administradores 0erfilar el rendimiento del sistema ?o est9 definido ?o est9 definido Administradores Tuitar el e+ui&o de la estacin de aco&lamiento ?o est9 definido ?o est9 definido Administradores 'eem&lazar un to1en a nivel de &roceso ?o est9 definido ?o est9 definido "('RI*I% 8%*A8: "('RI*I% D( '(D 'estaurar arc$ivos 7 directorios ?o est9 definido ?o est9 definido Administradores *errar el sistema ?o est9 definido ?o est9 definido Administradores "incronizar los datos del servicio de directorio ?o est9 definido ?o est9 definido ?inguno 5omar &osesin de arc$ivos u otros ob,etos ?o est9 definido ?o est9 definido Administradores
Page 32 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Tener acceso a este equipo desde la red (sta configuracin de directiva determina los usuarios 7 gru&os con autorizacin &ara conectarse al e+ui&o a trav6s de la red4 (s necesaria &ara una serie de &rotocolos de red: entre los +ue se encuentran los &rotocolos basados en blo+ues de mensa,es de servidor 2"-F3: ?etFI%": el sistema comHn de arc$ivos de Internet 2*IE"3 7 el modelo de ob,etos com&onentes 0lus 2*%-U34 .ener acceso a este e*uipo desde la red se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: aun+ue los &ermisos asignados al gru&o de seguridad .odos de indo!s "erver 200# con "01 7a no otorgan acceso a los usuarios annimos: los gru&os 7 las cuentas de invitados todava &ueden tener asignado acceso mediante el gru&o de seguridad .odos4 0or esta razn: en el entorno ""8E se deniega el derec$o de usuario .ener acceso a este e*uipo desde la red al gru&o de seguridad .odos: lo +ue &ermite ofrecer una &roteccin frente a los ata+ues +ue &retenden tener acceso al dominio como invitado4 "lo los gru&os 5dministradores: ,suarios autenticados 7 E0.E<(<7SE 4-#570 C-0.<-LLE<S tienen asignado este derec$o de usuario en el entorno ""8E4 Actuar como parte del sistema operativo (sta configuracin de directiva determina si un &roceso &uede asumir la identidad de cual+uier usuario 7 as tener acceso a los recursos &ara los +ue el usuario tiene autorizacin de acceso4 )eneralmente: slo los servicios de autenticacin de ba,o nivel re+uieren este derec$o de usuario4 (l derec$o de usuario 5ctuar como parte del sistema operati%o se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se establece en un valor nulo o en blanco: +ue deniega este derec$o de usuario a todos los gru&os de seguridad 7 cuentas4 Ajustar las cuotas de memoria para un proceso (sta configuracin de directiva determina si usuarios &ueden a,ustar la cantidad m9;ima de memoria dis&onible &ara un &roceso4 'esulta Htil &ara el a,uste de e+ui&os: si bien se &uede llegar a abusar de ella4 Kn atacante &odra a&rovec$ar la vulnerabilidad de este derec$o de usuario &ara iniciar un ata+ue Do"4 5:ustar las cuotas de memoria para un proceso se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna al gru&o 5dministradores: "('RI*I% D( '(D 7 "('RI*I% 8%*A8 &ara el entorno ""8E4 Permitir el inicio de sesin local (sta configuracin de directiva determina los usuarios +ue &ueden iniciar sesin de forma interactiva en el e+ui&o es&ecificado4 0ara +ue se &uedan iniciar sesiones con la combinacin de teclas *trlUAltU"u&r: el usuario debe dis&oner de este derec$o4 Page 33 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Kna cuenta con este derec$o de usuario se &odra utilizar &ara iniciar una sesin en la consola local del e+ui&o4 (l derec$o de usuario (ermitir el inicio de sesi+n local est9 restringido a los gru&os 5dministradores: -peradores de copia de seguridad 7 ,suarios a%anzados &ara los entornos 8* 7 (*: lo +ue &ermite im&edir el inicio de sesin &or &arte de usuarios no autorizados +ue deseen elevar sus &rivilegios o introducir virus en el entorno4 (ste derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 Permitir inicio de sesin a travs de Servicios de Terminal Server (sta configuracin de directiva determina los usuarios o gru&os +ue tienen &ermiso &ara iniciar sesin como un cliente de "ervicios de 5erminal "erver4 0ara los entornos 8* 7 (*: el derec$o de usuario (ermitir inicio de sesi+n a tra%Bs de Ser%icios de .erminal Ser%er est9 restringido a los gru&os 5dministradores 7 ,suarios de escritorio remoto4 0ara el entorno ""8E: slo los miembros del gru&o 5dministradores tienen asignado este derec$o de usuario4 Realizar copias de seguridad de archivos y directorios (sta configuracin de directiva determina si los usuarios &ueden evadir los &ermisos de arc$ivo 7 directorio al $acer una co&ia de seguridad del e+ui&o4 "lo se utiliza cuando una a&licacin intenta tener acceso a trav6s de la interfaz de &rogramacin de a&licaciones 2A0I3 de co&ia de seguridad ?5E" mediante una utilidad de co&ia de seguridad como ?5FA*MK04(B(4 De lo contrario: se a&lican los &ermisos normales de directorios 7 arc$ivos4 <ealizar copias de seguridad de archi%os directorios se configura como 0o est de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 Omitir la comprobacin de recorrido (sta configuracin de directiva determina si los usuarios &ueden &asar a trav6s de car&etas sin +ue se com&ruebe el &ermiso de acceso es&ecial J'ecorrer la car&etaJ cuando navegan &or una ruta de ob,eto en el sistema de arc$ivos ?5E" o en el 'egistro4 (ste derec$o de usuario no &ermite al usuario mostrar el contenido de una car&eta: slo recorrer los directorios4 -mitir la compro$aci+n de recorrido se configura como 0o est de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o ,suarios autenticados del entorno ""8E4 Page 34 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx ambiar la hora del sistema (sta configuracin de directiva determina los usuarios +ue &ueden cambiar la fec$a 7 $ora del relo, interno del e+ui&o4 8os usuarios +ue tienen asignado este derec$o de usuario &ueden influir en la a&ariencia de los registros de eventos: +ue tienen una marca de tiem&o segHn el relo, interno del e+ui&o4 "i se cambia la $ora del e+ui&o: los registros no refle,ar9n la $ora real en la +ue se &rodu,eron dic$os eventos4 Cam$iar la hora del sistema se configura como 0o est de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 0ota: las discre&ancias entre la $ora del e+ui&o local 7 la de los controladores de dominio &ueden acarrear &roblemas &ara el &rotocolo de autenticacin Merberos: +ue &ueden im&edir +ue los usuarios inicien sesin en el dominio u obtengan autorizacin de acceso a los recursos del dominio tras iniciar una sesin4 rear un archivo de paginacin (sta configuracin de directiva determina si los usuarios &ueden crear 7 cambiar el tamaCo de un arc$ivo de &aginacin4 0ara realizar esta tarea: el usuario es&ecifica un tamaCo de arc$ivo de &aginacin &ara una unidad concreta en el cuadro -pciones de rendimiento situado en la fic$a 5%anzadas del cuadro de di9logo (ropiedades del sistema4 Crear un archi%o de paginaci+n se configura como 0o de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario se asigna slo al gru&o 5dministradores del entorno ""8E4 rear un objeto To!en (sta configuracin de directiva determina si un &roceso &uede crear un to1en: +ue &odr9 utilizar &osteriormente el &roceso &ara obtener acceso a cual+uier recurso local cuando use ?t*reate5o1en23 u otra A0I de creacin de to1en4 Crear un o$:eto .oCen se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 rear objetos globales (sta configuracin de directiva &ermite a los usuarios crear ob,etos globales +ue est6n dis&onibles &ara todas las sesiones4 8os usuarios &ueden seguir creando ob,etos es&ecficos &ara su &ro&ia sesin sin tener asignado este derec$o de usuario4 Page 35 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Crear o$:etos glo$ales se configura como 0o est de'inido &ara los entornos 8* 7 (*4 0ara el entorno ""8E: este derec$o de usuario slo se asigna a los gru&os SE<D7C7- 7 5dministradores4 rear objetos compartidos permanentes (sta configuracin de directiva determina si los usuarios &ueden crear ob,etos de directorio en el administrador de ob,etos: lo +ue significa +ue &ueden crear car&etas: im&resoras 7 otros ob,etos com&artidos4 (s Htil &ara los com&onentes de modo 1ernel +ue am&lan el es&acio de nombres de ob,etos 7 &ara los com&onentes +ue tienen este derec$o de usuario intrnsecamente4 0or tanto: generalmente no es necesario asignar este derec$o de forma es&ecfica a los usuarios4 Crear o$:etos compartidos permanentes se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 "epurar programas (sta configuracin de directiva determina los usuarios +ue &ueden ad,untar un de&urador a cual+uier &roceso o al 1ernel4 0ro&orciona acceso a com&onentes crticos 7 confidenciales del sistema o&erativo4 8a de&uracin de &rogramas no se debe llevar a cabo en entornos de &roduccin: e;ce&to en circunstancias e;tremas: como cuando es necesario solucionar un &roblema de una a&licacin fundamental &ara la em&resa +ue no se &uede evaluar de forma eficaz en un entorno de &rueba4 4epurar programas se configura como 0o est de'inido &ara el entorno 8*4 0ara el entorno (*: este derec$o de usuario slo se asigna al gru&o 5dministradores4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 0ota: si en indo!s "erver 200# con "01 se +uita el derec$o de usuario 4epurar programas: es &osible +ue no se &ueda utilizar el servicio indo!s K&date4 "in embargo: las revisiones se &ueden descargar manualmente e instalarse o a&licarse &or otros medios4 Tuitar este derec$o de usuario tambi6n &uede afectar al "ervicio de clHster4 0ara obtener m9s informacin: consulte el artculo de -icrosoft Mno!ledge Fase sobre cmo a&licar una configuracin de seguridad m9s restrictiva a un servidor de clHster basado en indo!s "erver 200# @ en $tt&://su&&ort4microsoft4com/< 1bid=A>15>7 @ 2en ingl6s34 "enegar el acceso desde la red a este equipo 0ota: I?I*I% D( "("IS? A?S?I-%: Administrador integrado: "u&&ortO#AA>@5a0D InvitadoD 7 todas las cuentas de servicios +ue ?% se inclu7an en la &lantilla de seguridad 4inf4 (stas cuentas 7 gru&os tienen identificadores de seguridad 2"ID3 Page 36 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Hnicos &ara cada dominio de la organizacin4 0or lo tanto: se deben agregar manualmente4 0ara m9s informacin: consulte la seccin J0rocedimientos de seguridad manualesJ al final de este ca&tulo4 (sta configuracin de directiva determina los usuarios +ue no &odr9n tener acceso a un e+ui&o a trav6s de la red4 Deniega una serie de &rotocolos de red: entre los +ue se inclu7en los &rotocolos basados en "-F: ?etFI%": *IE": G550 7 *%-U4 (sta configuracin de directiva anula el derec$o de usuario .ener acceso a este e*uipo desde la red cuando una cuenta de usuario tiene asignada ambas configuraciones4 0ara los tres entornos definidos en esta gua: se asigna el derec$o de usuario 4enegar el acceso desde la red a este e*uipo al gru&o 7n%itados: I?I*I% D( "("IS? A?S?I-%: "u&&ortO#AA>@5a0: as como a todas las cuentas de servicios +ue no son &arte del sistema o&erativo4 8a configuracin de este &ar9metro de directiva &ara otros gru&os &odra limitar las ca&acidades de los usuarios asignados a funciones administrativas es&ecficas del entorno4 Debe verificar +ue las tareas delegadas no se vean afectadas de forma negativa4 "enegar el inicio de sesin como trabajo por lotes 0ota: I?I*I% D( "("IS? A?S?I-%: Administrador integrado: "u&&ortO#AA>@5a0D InvitadoD 7 todas las cuentas de servicios +ue ?% se inclu7an en la &lantilla de seguridad 4inf4 (stas cuentas 7 gru&os tienen identificadores de seguridad 2"ID3 Hnicos &ara cada dominio de la organizacin4 0or lo tanto: se deben agregar manualmente4 0ara m9s informacin: consulte la seccin J0rocedimientos de seguridad manualesJ al final de este ca&tulo4 (sta configuracin de directiva determina las cuentas +ue no &odr9n registrarse en el e+ui&o como un traba,o &or lotes4 Kn traba,o &or lotes no es un arc$ivo &or lotes 24bat3: sino m9s bien un servicio de cola de &roceso &or lotes4 8as cuentas +ue utilizan el 0rogramador de 5areas &ara &rogramar los traba,os necesitan este derec$o de usuario4 (l derec$o de usuario 4enegar el inicio de sesi+n como tra$a:o por lotes invalida el derec$o de usuario 7niciar sesi+n como proceso por lotes: +ue se &odra utilizar &ara &ermitir a las cuentas &rogramar traba,os +ue consumen recursos e;cesivos del sistema4 (sto &odra causar una condicin Do"4 0or esta razn: el derec$o de usuario 4enegar el inicio de sesi+n como tra$a:o por lotes se asigna al gru&o 7n%itados 7 a la cuenta de usuario "u&&ortO#AA>@5a0 en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 "i no se asigna este derec$o de usuario a las cuentas recomendadas &uede &roducirse un riesgo de seguridad4 Page 37 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx "enegar el inicio de sesin como servicio (sta configuracin de directiva determina si los servicios se &ueden iniciar en el conte;to de la cuenta es&ecificada4 4enegar el inicio de sesi+n como ser%icio se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 "enegar el inicio de sesin localmente (sta configuracin de directiva determina si los usuarios &ueden iniciar sesin directamente en el teclado de e+ui&o4 4enegar el inicio de sesi+n localmente se configura como 0o est de'inido &ara los entornos (* 7 8*4 "in embargo: este derec$o de usuario se asigna slo al gru&o 7n%itados 7 a la cuenta de usuario "u&&ortO#AA>@5a0 &ara el entorno ""8E4 "i no se asigna este derec$o de usuario a las cuentas recomendadas &uede &roducirse un riesgo de seguridad4 "enegar inicio de sesin a travs de Servicios de Terminal Server 0ota: I?I*I% D( "("IS? A?S?I-%: Administrador integrado: "u&&ortO#AA>@5a0D InvitadoD 7 todas las cuentas de servicios +ue ?% se inclu7an en la &lantilla de seguridad 4inf4 (stas cuentas 7 gru&os tienen identificadores de seguridad 2"ID3 Hnicos &ara cada dominio de la organizacin4 0or lo tanto: se deben agregar manualmente4 0ara m9s informacin: consulte la seccin J0rocedimientos de seguridad manualesJ al final de este ca&tulo4 (sta configuracin de directiva determina si los usuarios &ueden iniciar sesin como clientes de "ervicios de 5erminal "erver4 Des&u6s de +ue el servidor miembro de lnea de base se una a un entorno de dominio: no es necesario utilizar cuentas locales &ara tener acceso al servidor desde la red4 8as cuentas de dominio &ueden tener acceso al servidor con fines de &rocesamientos administrativos 7 de usuarios finales4 0ara los tres entornos definidos en esta gua: el gru&o 7n%itados tiene asignado el derec$o de usuario 4enegar inicio de sesi+n a tra%Bs de Ser%icios de .erminal Ser%er de modo +ue sus miembros no &uedan iniciar sesin a trav6s de "ervicios de 5erminal "erver4 #abilitar la opcin "e con$ianza para la delegacin en las cuentas de usuario y de equipo (sta configuracin de directiva determina si los usuarios &ueden cambiar la configuracin 4e con'ianza para la delegaci+n en un ob,eto de usuario o e+ui&o en Active Director74 8os usuarios o e+ui&os a los +ue se asigna este derec$o de usuario tambi6n deben dis&oner de acceso de escritura a los indicadores de control Page 38 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx de cuenta en el ob,eto4 Kn abuso de este derec$o de usuario &odra causar la su&lantacin no autorizada de otros usuarios en la red4 8a$ilitar la opci+n 4e con'ianza para la delegaci+n en las cuentas de usuario de e*uipo se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o de administradores del entorno ""8E4 %orzar el apagado de un sistema remoto (sta configuracin de directiva determina si los usuarios &ueden a&agar los e+ui&os desde ubicaciones remotas de la red4 *ual+uier usuario +ue &ueda a&agar un e+ui&o &uede &rovocar una condicin Do"4 0or lo tanto: este derec$o de usuario debe restringirse al m9;imo4 Forzar el apagado de un sistema remoto se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o 5dministradores del entorno ""8E4 &enerar auditor'as de seguridad (sta configuracin de directiva determina si un &roceso &uede generar registros de auditora en el registro de seguridad4 *omo el registro de seguridad se &uede utilizar &ara $acer un seguimiento del acceso no autorizado: un atacante &uede utilizar las cuentas +ue &ueden escribir en dic$o registro &ara llenarlo con eventos +ue carecen de sentido4 "i configura el e+ui&o de modo +ue se sobrescriban los eventos cuando sea necesario: el atacante &odra usar esta ca&acidad &ara eliminar la evidencia de las actividades no autorizadas +ue realiza4 "i configura el e+ui&o &ara a&agarse cuando no se &ueda escribir en el registro de seguridad: un atacante &odra utilizar esta ca&acidad &ara crear una condicin Do"4 Aenerar auditor/as de seguridad se configura como 0o est de'inido &ara los entornos 8* 7 (*4 (ste derec$o de usuario slo se asigna a las cuentas "('RI*I% D( '(D 7 "('RI*I% 8%*A8 &ara el entorno ""8E4 Suplantar a un cliente despus de la autenticacin (sta configuracin de directiva determina si las a&licaciones +ue se e,ecutan en nombre de un usuario autenticado &ueden su&lantar a clientes4 "i este derec$o de usuario se re+uiere &ara este ti&o de su&lantacin: un usuario no autorizado no &odr9 convencer a un cliente de +ue se conecte 2&or e,em&lo: mediante una llamada a &rocedimiento remoto 2'0*3 o canalizaciones con nombre3 a un servicio creado &ara su&lantar a ese cliente4 (l usuario no autorizado &odra utilizar esta ca&acidad &ara elevar sus &ermisos a niveles administrativos o del sistema4 Suplantar a un cliente despuBs de la autenticaci+n se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o 5dministradores 7 "('RI*I% del entorno ""8E4 Page 39 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Aumentar la prioridad de programacin (sta configuracin de directiva determina si los usuarios &ueden aumentar la clase de &rioridad base de un &roceso4 (l aumento en la &rioridad relativa dentro de una clase de &rioridad no es una o&eracin de &rivilegio4 8as $erramientas administrativas incluidas en el sistema o&erativo no necesitan este derec$o de usuario: aun+ue s lo &ueden &recisar las $erramientas de desarrollo de soft!are4 Kn usuario +ue tenga asignado este derec$o &uede aumentar la &rioridad de &rogramacin de un &roceso a tiem&o real 7 de,ar &oco tiem&o de &rocesamiento &ara los dem9s &rocesos: lo +ue &uede &rovocar una condicin Do"4 5umentar la prioridad de programaci+n se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o de administradores del entorno ""8E4 argar y descargar controladores de dispositivo (sta configuracin de directiva determina los usuarios +ue &ueden cargar 7 descargar din9micamente controladores de dis&ositivos4 (ste derec$o de usuario no es necesario si 7a e;iste un controlador firmado &ara el nuevo $ard!are en el arc$ivo Driver4cab del e+ui&o4 8os controladores de dis&ositivos se e,ecutan como un cdigo con &rivilegios elevados4 Kn usuario con el derec$o de usuario Cargar descargar controladores de dispositi%o &uede instalar cdigo malintencionado +ue se $aga &asar &or un controlador de dis&ositivo 2bien de forma involuntaria o de otro modo34 28os administradores deben tener m9s cuidado e instalar slo a+uellos controladores con firmas digitales com&robadas43 Cargar descargar controladores de dispositi%o se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 (loquear p)ginas en la memoria (sta configuracin de directiva determina si un &roceso &uede mantener los datos en la memoria fsica: lo +ue im&ide al e+ui&o la &aginacin de los datos en la memoria virtual del disco4 (sto &odra degradar en gran medida el rendimiento4 8os usuarios +ue tienen asignado este derec$o &ueden asignar memoria fsica a varios &rocesos 7 de,ar &oca o ninguna memoria de acceso aleatorio 2'A-3 &ara otros &rocesos: lo +ue &odra &rovocar una condicin Do"4 &lo*uear pginas en la memoria se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 Page 40 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx *niciar sesin como servicio (sta configuracin de directiva determina si una entidad &rinci&al de seguridad &uede iniciar sesin como un servicio4 8os servicios se &ueden configurar &ara e,ecutarse con las cuentas "istema local: "ervicio local o "ervicio de red: +ue tienen derec$os integrados &ara iniciar sesin como un servicio4 5odo servicio +ue se e,ecute en una cuenta de usuario diferente debe tener asignado este derec$o de usuario4 7niciar sesi+n como ser%icio se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo a la cuenta "ervicio de red del entorno ""8E4 Administrar registros de auditor'a y de seguridad (sta configuracin de directiva determina si los usuarios &ueden es&ecificar o&ciones de auditora de acceso a ob,etos &ara recursos individuales: como arc$ivos: ob,etos de Active Director7 7 claves del 'egistro4 (ste derec$o de usuario &ro&orciona muc$as ca&acidades 7 es necesario vigilarlo de cerca4 *ual+uier usuario con este derec$o &uede borrar el registro de seguridad: as como &osiblemente evidencias im&ortantes sobre las actividades no autorizadas4 5dministrar registros de auditor/a de seguridad se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o 5dministradores del entorno ""8E4 7mportante: -icrosoft (;c$ange "erver 200# modifica este derec$o de usuario en la directiva &redeterminada de controladores de dominio durante el &roceso de instalacin4 0ara obtener m9s detalles: consulte la informacin dis&onible en lnea sobre la im&lementacin de (;c$ange "erver 200# 5 en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/e;c$ange/guides/(21#AD0erm/110e #7bfIaLAcI@7bbIb@d5I1cfd5#>d>cba4ms&; 5 2en ingl6s34 "i este derec$o de usuario est9 restringido al gru&o del administrador: (;c$ange registrar9 con frecuencia mensa,es de error en el registro de eventos de a&licacin4 "i usa (;c$ange "erver 200#: deber9 a,ustar el valor de esta configuracin &ara los controladores de dominio4 Al igual +ue con el resto de las configuraciones recomendadas en esta gua: es &osible +ue deba realizar algunos a,ustes &ara +ue las a&licaciones de la organizacin funcionen con normalidad4 +odi$icar valores de entorno del $irm,are (sta configuracin de directiva determina si las variables de entorno del e+ui&o las &uede modificar un &roceso a trav6s de una A0I o un usuario a trav6s de (ropiedades del sistema4 *ual+uiera +ue tenga asignado este derec$o &uede configurar los &ar9metros de un com&onente de $ard!are &ara +ue genere errores: lo +ue &uede &rovocar una corru&cin de datos o condicin Do"4 Page 41 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx #odi'icar %alores de entorno del 'irm3are se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 Realizar tareas de mantenimiento de vol-menes (sta configuracin de directiva determina si un usuario no administrativo o remoto &uede administrar los volHmenes o discos4 Kn usuario +ue tenga asignado este derec$o &uede eliminar un volumen: lo +ue &rovocara una &6rdida de datos o condicin Do"4 <ealizar tareas de mantenimiento de %olEmenes se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o del usuario se asigna slo al gru&o de administradores del entorno ""8E4 #acer per$il de un solo proceso (sta configuracin de directiva determina los usuarios +ue &ueden utilizar $erramientas de su&ervisin de rendimiento &ara controlar el rendimiento de &rocesos +ue no son del sistema4 (ste derec$o de usuario su&one una vulnerabilidad moderada &uesto +ue un atacante con esta ca&acidad &odra su&ervisar el rendimiento de un e+ui&o &ara identificar los &rocesos fundamentales +ue desea atacar directamente4 (l atacante tambi6n &uede determinar cu9les son los &rocesos +ue se e,ecutan en el e+ui&o &ara &oder identificar las contramedidas +ue deber9 evitar: como un soft!are antivirus: un sistema de deteccin de intrusiones u otros usuarios +ue tengan iniciada una sesin en el e+ui&o4 8acer per'il de un solo proceso se configura como 0o est de'inido &ara los entornos 8* 7 (*4 0ara obtener una ma7or seguridad: asegHrese de +ue el gru&o ,suarios a%anzados no tiene asignado este derec$o de usuario en el entorno ""8ED slo los miembros del gru&o 5dministradores deben tener esta ca&acidad en este ti&o de entornos4 Per$ilar el rendimiento del sistema (sta configuracin de directiva es seme,ante a la anterior4 Determina si los usuarios &ueden su&ervisar el rendimiento de los &rocesos del sistema4 (ste derec$o de usuario su&one una vulnerabilidad moderada &uesto +ue un atacante con este &rivilegio &odra su&ervisar el rendimiento de un e+ui&o &ara identificar los &rocesos fundamentales +ue desea atacar directamente4 (l atacante tambi6n &odra determinar cu9les son los &rocesos +ue se e,ecutan en el e+ui&o &ara &oder identificar contramedidas +ue deber9 evitar: como un soft!are antivirus o un sistema de deteccin de intrusiones4 (er'ilar el rendimiento del sistema se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 Page 42 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx .uitar el equipo de la estacin de acoplamiento (sta configuracin de directiva determina si los usuarios de e+ui&os &ort9tiles &ueden $acer clic en <etirar e*uipo en el menH 7nicio &ara desaco&lar los e+ui&os4 *ual+uier usuario +ue tenga asignado este derec$o &uede +uitar un e+ui&o &ort9til de la estacin de aco&lamiento4 Fuitar el e*uipo de la estaci+n de acoplamiento se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario se asigna slo al gru&o de administradores del entorno ""8E4 Reemplazar un to!en a nivel de proceso (sta configuracin de directiva determina si un &roceso &rinci&al &uede reem&lazar el to1en de acceso asociado a un &roceso secundario4 <eemplazar un toCen a ni%el de proceso se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: este derec$o de usuario slo se asigna a las cuentas "('RI*I% 8%*A8 7 "('RI*I% D( '(D &ara el entorno ""8E4 Restaurar archivos y directorios (sta configuracin de directiva determina los usuarios +ue &ueden omitir los &ermisos de arc$ivos: directorios: 'egistro 7 otros ob,etos &ersistentes cuando restauran co&ias de seguridad de arc$ivos 7 directorios4 5ambi6n determina +u6 usuarios &ueden establecer cual+uier entidad de seguridad v9lida &rinci&al como &ro&ietaria de un ob,eto4 <estaurar archi%os directorios se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: slo el gru&o 5dministradores tiene asignado este derec$o de usuario &ara el entorno ""8E4 8as tareas de restauracin de arc$ivos generalmente las llevan a cabo los administradores o los miembros de otro gru&o de seguridad es&ecficamente delegado: es&ecialmente cuando se trata de servidores o controladores de dominio e;tremadamente im&ortantes4 errar el sistema (sta configuracin de directiva determina los usuarios +ue tienen iniciada una sesin local +ue &ueden cerrar el sistema o&erativo con el comando 5pagar4 Debido a +ue un uso incorrecto de esta ca&acidad &uede &rovocar una condicin Do": la ca&acidad de cerrar los controladores de dominio se debera limitar a un nHmero reducido de administradores +ue sean de confianza4 A &esar de +ue es necesario iniciar sesin en el servidor &ara &oder cerrar el sistema: es im&ortante tener cuidado con las cuentas 7 gru&os a los +ue se concede &ermiso &ara a&agar un controlador de dominio4 Cerrar el sistema se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: slo el gru&o 5dministradores tiene asignado este derec$o de usuario &ara el entorno ""8E4 Page 43 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Sincronizar los datos del servicio de directorio (sta configuracin de directiva determina si un &roceso &uede leer todos los ob,etos 7 &ro&iedades del directorio: inde&endientemente de la &roteccin de los ob,etos 7 las &ro&iedades4 (ste derec$o de usuario es necesario &ara &oder usar los servicios de sincronizacin 2Dirs7nc3 de directorios 8DA04 8a configuracin &redeterminada de Sincronizar los datos del ser%icio de directorio es 0o est de'inido: +ue es un valor suficiente &ara los entornos 8* 7 (*4 "in embargo: &ara el entorno ""8E: esta configuracin de directiva se configura en un valor nulo o en blanco: lo +ue significa +ue ningHn gru&o de seguridad o cuenta tendr9 este derec$o de usuario4 Tomar posesin de archivos u otros objetos (sta configuracin de directiva determina si los usuarios &uede tomar &osesin de cual+uier ob,eto +ue se &ueda asegurar en la red: como los ob,etos de Active Director7: los arc$ivos 7 car&etas del sistema de arc$ivos ?5E": las im&resoras: las claves del 'egistro: los servicios: los &rocesos 7 los sub&rocesos4 .omar posesi+n de archi%os u otros o$:etos se configura como 0o est de'inido &ara los entornos 8* 7 (*4 "in embargo: debe asignar este derec$o de usuario slo al gru&o 5dministradores &ara el entorno ""8E4 0rinci&io de la &9gina #pciones de seguridad 8as configuraciones de directiva de la seccin %&ciones de seguridad de la directiva de gru&o se utilizan &ara $abilitar o des$abilitar ca&acidades 7 caractersticas: como el acceso a una unidad de disco o una unidad de *DI'%- 7 los mensa,es de inicio de sesin4 5ambi6n sirven &ara configurar otras o&ciones: como las relacionadas con la firma digital de datos: los nombres de cuentas de administrador e invitado 7 el funcionamiento de la instalacin de un controlador4 0uede configurar los valores de configuracin de las o&ciones de seguridad en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad14irecti%as locales1 Seguridad1-pciones ?o todas las configuraciones incluidas en esta seccin e;isten en todos los ti&os de e+ui&os4 0or lo tanto: &uede +ue las configuraciones de la &arte %&ciones de seguridad de la directiva de gru&o +ue se definen en esta seccin se deban modificar manualmente en los e+ui&os en los +ue est6n &resentes &ara +ue &uedan funcionar &or com&leto4 Page 44 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx (n las siguientes secciones se &ro&orcionan detalles sobre la configuracin recomendada de las o&ciones de seguridad de la directiva -"F0 &ara los tres entornos definidos en esta gua4 0ara obtener un resumen de la configuracin recomendada: consulte el libro de -icrosoft (;cel Jindo!s "erver 200# "ecurit7 )uide "ettingsJ +ue se inclu7e con la versin descargable de esta gua4 0ara obtener informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de cada una de las configuraciones: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP4 (n las tablas de las siguientes secciones se resume la configuracin recomendada &ara los distintos ti&os de o&ciones de seguridad4 8as subsecciones a continuacin de cada tabla &ro&orcionan informacin detallada sobre las configuraciones4 on$iguracin de cuentas .a$la 4.1! -pciones de seguridad: recomendaciones de con'iguraci+n de cuentas Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada estado de la cuenta de administrador ?o est9 definido ?o est9 definido Gabilitada estado de la cuenta de invitado Des$abilitado Des$abilitado Des$abilitado limitar el uso de cuentas locales con contraseCa en blanco slo &ara iniciar la consola Gabilitada Gabilitada Gabilitada
Cuentas: estado de la cuenta de administrador (sta configuracin de directiva $abilita o des$abilita la cuenta de administrador durante el funcionamiento normal4 Al iniciar un e+ui&o en modo seguro: la cuenta de administrador siem&re est9 $abilitada: inde&endientemente del valor de esta configuracin4 Cuentas: estado de la cuenta de administrador se configura como 0o est de'inido &ara los entornos 8* 7 (* 7 como 8a$ilitado &ara el entorno ""8E4 Page 45 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Cuentas: estado de la cuenta de in%itado (sta configuracin de directiva determina si la cuenta de invitado se $abilita o des$abilita4 (sta cuenta &ermite +ue los usuarios de red no autenticados inicien sesin como invitados 7 obtengan acceso al e+ui&o4 Cuentas: estado de la cuenta de in%itado se configura como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Cuentas: limitar el uso de cuentas locales con contraseGa en $lanco s+lo para iniciar la consola (sta configuracin de directiva determina si las cuentas locales +ue no est9n &rotegidas &or contraseCas se &ueden utilizar &ara iniciar sesin desde ubicaciones distintas a la consola del e+ui&o fsico4 "i se $abilita: las cuentas locales con una contraseCa +ue no est6 en blanco no &odr9n iniciar sesin en la red desde un cliente remoto 7 las cuentas locales +ue no est6n &rotegidas &or contraseCas slo &odr9n iniciar sesin fsicamente a trav6s del teclado de un e+ui&o4 Cuentas: limitar el uso de cuentas locales con contraseGa en $lanco s+lo para iniciar la consola se configura en el valor &redeterminado 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 on$iguracin de auditor'a .a$la 4.16 -pciones de seguridad: recomendaciones de con'iguraci+n de auditor/a Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada auditar el acceso de ob,etos globales del sistema Des$abilitado Des$abilitado Des$abilitado auditar el uso del &rivilegio de co&ia de seguridad 7 restauracin Des$abilitado Des$abilitado Des$abilitado a&agar el sistema de inmediato si no &uede registrar auditoras de seguridad Des$abilitado Des$abilitado Gabilitada Page 46 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx
5uditor/a: auditar el acceso de o$:etos glo$ales del sistema (sta configuracin de directiva audita el acceso de los ob,etos globales del sistema cuando se a&lica4 "i las configuraciones 5uditor/a: auditar el acceso de o$:etos glo$ales del sistema 7 5uditar acceso a o$:etos est9n $abilitadas: se generar9 un gran nHmero de eventos de auditora4 5uditor/a: auditar el acceso de o$:etos glo$ales del sistema se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: los cambios en la configuracin de este &ar9metro de seguridad no tendr9n efecto $asta +ue se reinicie indo!s "erver 200#4 5uditor/a: auditar el uso del pri%ilegio de copia de seguridad restauraci+n (sta configuracin de directiva determina si se debe auditar el uso de todos &rivilegios de usuario: incluidos los de co&ia de seguridad 7 restauracin: cuando la configuracin de directiva 5uditar el uso de pri%ilegios est9 activa4 "i se $abilita: se &odran generar un gran nHmero de eventos de seguridad: lo +ue causara una res&uesta lenta en los servidores 7 un registro de numerosos eventos no relevantes en el registro de seguridad4 0or tanto: 5uditor/a: auditar el uso del pri%ilegio de copia de seguridad restauraci+n se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: los cambios en la configuracin de este &ar9metro de seguridad no tendr9n efecto $asta +ue se reinicie indo!s "erver 200#4 5uditor/a: apagar el sistema de inmediato si no puede registrar auditor/as de seguridad (sta configuracin de directiva determina si el e+ui&o se a&aga inmediatamente si no &uede registrar eventos de seguridad4 "e $a determinado +ue la cantidad de carga administrativa necesaria &ara $abilitar 5uditor/a: apagar el sistema de inmediato si no puede registrar auditor/as de seguridad en los entornos 8* 7 (* es demasiado grande4 0or lo tanto: esta configuracin de directiva se establece en 4esha$ilitado en la directiva de lnea de base &ara esos entornos4 "in embargo: se configura como 8a$ilitado en la directiva de lnea de base &ara el entorno ""8E: &or+ue la carga administrativa adicional se consider ace&table &ara im&edir la eliminacin de eventos del registro de seguridad: salvo +ue un administrador decida es&ecficamente $acerlo as4 Page 47 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx on$iguracin de dispositivos .a$la 4.14 -pciones de seguridad: recomendaciones de con'iguraci+n de dispositi%os Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada &ermitir el desblo+ueo sin tener +ue iniciar sesin Des$abilitado Des$abilitado Des$abilitado &ermitir formatear 7 e;&ulsar medios e;trables Administradores Administradores Administradores im&edir +ue los usuarios instalen controladores de im&resora Gabilitada Gabilitada Gabilitada 'estringir el acceso al *D I'%- slo al usuario con sesin iniciada localmente ?o est9 definido ?o est9 definido Des$abilitado restringir el acceso a la unidad de dis+uete slo al usuario con sesin iniciada localmente ?o est9 definido ?o est9 definido Des$abilitado com&ortamiento de instalacin de controlador no firmado Avisar &ero &ermitir la instalacin Avisar &ero &ermitir la instalacin Avisar &ero &ermitir la instalacin
4ispositi%os: permitir el des$lo*ueo sin tener *ue iniciar sesi+n (sta configuracin de directiva determina si un e+ui&o &ort9til se &uede desaco&lar sin +ue el usuario tenga +ue iniciar sesin en el e+ui&o4 0uede $abilitar esta configuracin de directiva &ara +ue no sea necesario iniciar sesin 7 &ermitir el uso de un botn de e;&ulsin en el $ard!are e;terno &ara desaco&lar el e+ui&o4 "i se Page 48 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx des$abilita: los usuarios +ue no tengan iniciada sesin deber9n tener asignado el derec$o de usuario Fuitar el e*uipo de la estaci+n de acoplamiento4 4ispositi%os: permitir el des$lo*ueo sin tener *ue iniciar sesi+n se configura como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 4ispositi%os: permitir 'ormatear expulsar medios extra/$les (sta configuracin de directiva determina +u6 usuarios &ueden dar formato 7 e;&ulsar medios e;trables4 8os administradores deberan ser los Hnicos $abilitados &ara e;&ulsar medios e;trables en los servidores4 0or tanto: se recomienda usar el valor &redeterminado 5dministradores &ara 4ispositi%os: permitir 'ormatear expulsar medios extra/$les en la directiva de lnea de base de los tres entornos definidos en esta gua4 4ispositi%os: impedir *ue los usuarios instalen controladores de impresora 0ara +ue un e+ui&o &ueda im&rimir en una im&resora de red: debe tener instalado el controlador &ara esa im&resora4 "i se $abilita 4ispositi%os: impedir *ue los usuarios instalen controladores de impresora: slo los usuarios de los gru&os 5dministradores o ,suarios a%anzados o +ue tengan &rivilegios de o&erador de servidor &odr9n instalar un controlador de im&resora &ara agregar una im&resora de red4 "i se des$abilita: cual+uier usuario &odr9 instalar un controlador de im&resora4 4ispositi%os: impedir *ue los usuarios instalen controladores de impresora se configura en el valor &redeterminado 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 4ispositi%os: restringir el acceso al C4"<-# s+lo al usuario con sesi+n iniciada localmente (sta configuracin de directiva determina si los usuarios locales 7 remotos &ueden obtener acceso a un *DI'%- simult9neamente4 "i se $abilita: slo el usuario +ue $a7a iniciado sesin de forma interactiva &odr9 tener acceso a medios de *DI'%- e;trables4 "i se $abilita 7 ningHn usuario $a iniciado sesin de forma interactiva: se &odr9 tener acceso al *DI'%- a trav6s de la red4 4ispositi%os: restringir el acceso al C4"<-# s+lo al usuario con sesi+n iniciada localmente se configura como 0o est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (n la directiva de lnea de base del entorno ""8E: este &ar9metro de configuracin de directiva se establece como 4esha$ilitado. 4ispositi%os: restringir el acceso a la unidad de dis*uete s+lo al usuario con sesi+n iniciada localmente (sta configuracin de directiva determina si los usuarios locales 7 remotos &ueden obtener acceso a un medio de dis+uete e;trable simult9neamente4 "i se $abilita: slo Page 49 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx el usuario +ue $a7a iniciado sesin de forma interactiva &odr9 tener acceso a medios de dis+uete e;trables4 "i se $abilita 7 ningHn usuario $a iniciado sesin de forma interactiva: se &odr9 tener acceso a los medios de dis+uete a trav6s de la red4 4ispositi%os: restringir el acceso a la unidad de dis*uete s+lo al usuario con sesi+n iniciada localmente se configura como 0o est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (n la directiva de lnea de base del entorno ""8E: este &ar9metro de configuracin de directiva se establece como 4esha$ilitado. 4ispositi%os: comportamiento de instalaci+n de controlador no 'irmado (sta configuracin de directiva determina lo +ue ocurre ante un intento de instalar un controlador de dis&ositivo 2mediante una A0I de instalacin3 no a&robado 7 firmado &or el laboratorio de calidad de $ard!are de indo!s 2GT834 (n funcin de cmo se configure: se im&edir9 la instalacin de controladores no firmados o se advertir9 al administrador de +ue est9 a &unto de instalar un controlador no firmado4 4ispositi%os: comportamiento de instalaci+n de controlador no 'irmado se &uede utilizar &ara im&edir la instalacin de controladores +ue no est6n certificados &ara e,ecutarse en indo!s "erver 200# con "014 "in embargo: esta configuracin de directiva se establece en 5%isar pero permitir la instalaci+n en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Kno de los &roblemas &otenciales de esta configuracin es +ue las secuencias de comandos de instalacin desatendida generar9n errores cuando se intenten instalar controladores no firmados4 on$iguracin de miembros de dominio .a$la 4.19 -pciones de seguridad: recomendaciones de con'iguraci+n de miem$ros de dominio Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada cifrar o firmar datos de canal seguro digitalmente 2siem&re3 Des$abilitado Gabilitada Gabilitada cifrar datos de canal seguro digitalmente 2cuando sea &osible3 Gabilitada Gabilitada Gabilitada Page 50 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Eirmar datos de canal seguro digitalmente 2cuando sea &osible3 Gabilitada Gabilitada Gabilitada des$abilitar los cambios de contraseCa de cuentas de e+ui&o Des$abilitado Des$abilitado Des$abilitado duracin m9;ima de contraseCa de cuenta de e+ui&o #0 das #0 das #0 das re+uerir clave de sesin &rotegida 2indo!s 2000: indo!s B0 o indo!s "erver 200#3 Gabilitada Gabilitada Gabilitada
#iem$ro de dominio: desci'rar o 'irmar digitalmente datos de un canal seguro (siempre) (sta configuracin de directiva determina si todo el tr9fico de canal seguro iniciado &or el miembro de dominio se debe firmar o cifrar4 "i un e+ui&o se $a configurado &ara cifrar o firmar siem&re los datos de canal seguro: no &odr9 establecer un canal seguro con un controlador de dominio +ue no &ueda firmar o cifrar todo el tr9fico de canal seguro4 #iem$ro de dominio: desci'rar o 'irmar digitalmente datos de un canal seguro (siempre) se configura como 4esha$ilitado en la directiva de lnea de base &ara el entorno 8* 7 como 8a$ilitado &ara los entornos (* 7 ""8E4 0ota: con el ob,etivo de a&rovec$ar las venta,as de esta configuracin en las estaciones de traba,o 7 los servidores miembro: todos los controladores de dominio +ue formen &arte del dominio del miembro deben e,ecutar indo!s ?5 @40 con "ervice 0ac1 La o la versin m9s reciente de indo!s4 Adem9s: esta configuracin de directiva no es com&atible con indo!s >A "econd (dition: salvo +ue est6 instalado Dsclient4 #iem$ro de dominio: desci'rar digitalmente datos de un canal seguro (cuando sea posi$le) (sta configuracin de directiva determina si un miembro de dominio &uede intentar negociar el cifrado de todo el tr9fico de canal seguro +ue inicie4 "i se $abilita: el miembro de dominio solicitar9 el cifrado de todo el tr9fico de canal seguro4 "i se des$abilita: el miembro de dominio no &odr9 negociar el cifrado de canal seguro4 Page 51 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0or lo tanto: #iem$ro de dominio: desci'rar digitalmente datos de un canal seguro (cuando sea posi$le) se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 #iem$ro de dominio: 'irmar digitalmente datos de un canal seguro (cuando sea posi$le) (sta configuracin de directiva determina si un miembro de dominio &uede intentar negociar una firma &ara todo el tr9fico de canal seguro +ue inicie4 (l re+uisito de utilizar una firma &rotege el tr9fico e im&ide +ue una &ersona +ue eventualmente ca&ture sus datos &ueda modificarlo4 #iem$ro de dominio: 'irmar digitalmente datos de un canal seguro (cuando sea posi$le) se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 #iem$ro de dominio: desha$ilitar los cam$ios de contraseGa de cuentas de e*uipo (sta configuracin de directiva determina si un miembro de dominio &uede cambiar &eridicamente la contraseCa de la cuenta de e+ui&o4 "i se $abilita: el miembro de dominio no &odr9 cambiar la contraseCa de la cuenta de e+ui&o4 "i se des$abilita: el miembro de dominio &odr9 cambiar la contraseCa de la cuenta de e+ui&o tal 7 como es&ecifi+ue la configuracin #iem$ro de dominio: duraci+n mxima de contraseGa de cuenta de e*uipo: cu7o valor &redeterminado es cada #0 das4 8os e+ui&os +ue no &ueden cambiar autom9ticamente sus contraseCas de cuenta est9n e;&uestos a sufrir un ata+ue &or &arte de un usuario +ue $a7a averiguado la contraseCa de la cuenta de dominio del e+ui&o4 0or lo tanto: #iem$ro de dominio: desha$ilitar los cam$ios de contraseGa de cuentas de e*uipo se configura como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 #iem$ro de dominio: duraci+n mxima de contraseGa de cuenta de e*uipo (sta configuracin de directiva determina la antigPedad m9;ima &ermitida &ara la contraseCa de una cuenta de e+ui&o4 5ambi6n se a&lica a los e+ui&os con indo!s 2000: &ero no est9 dis&onible a trav6s de las $erramientas de Administrador de configuracin de seguridad de los mismos4 De forma &redeterminada: los miembros de dominio cambian autom9ticamente sus contraseCas cada #0 das4 "i se aumenta este intervalo de forma significativa o se establece en 0 &ara +ue los e+ui&os no cambien las contraseCas: un atacante dis&ondr9 de m9s tiem&o &ara realizar un ata+ue de fuerza bruta 7 averiguar la contraseCa de una o m9s cuentas del e+ui&o4 0or lo tanto: #iem$ro de dominio: duraci+n mxima de contraseGa de cuenta de e*uipo se configura como 6@ d/as en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Page 52 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx #iem$ro de dominio: re*uerir cla%e de sesi+n protegida (2indo3s !@@@ o ms reciente) (sta configuracin de directiva determina si la seguridad de clave de 12A bits se re+uiere &ara los datos cifrados de canal seguro4 "i se $abilita: se &odr9 establecer un canal seguro sin cifrado de 12A bits4 "i se des$abilita: el miembro de dominio deber9 negociar la seguridad de clave con el controlador de dominio4 8as claves de sesin utilizadas &ara establecer comunicaciones de canal seguro entre controladores de dominio 7 e+ui&os miembro son muc$o m9s seguras en indo!s 2000 +ue en los sistemas o&erativos anteriores de -icrosoft4 0or lo tanto: debido a +ue los tres entornos de seguridad descritos en esta gua contienen controladores de dominio con indo!s 2000 o versiones su&eriores: #iem$ro de dominio: re*uerir cla%e de sesi+n protegida (2indo3s !@@@ o ms reciente) se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos4 0ota: si $abilita esta configuracin de directiva: no &odr9 unir e+ui&os +ue e,ecuten indo!s 2000 a dominios con indo!s ?5 @404 on$iguracin de inicio de sesin interactivo .a$la 4.1; -pciones de seguridad: recomendaciones de con'iguraci+n de inicio de sesi+n interacti%o Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada mostrar informacin de usuario cuando se blo+uee la sesin ?o est9 definido ?o est9 definido ?ombre &ara mostrar del usuario: dominio 7 nombres de usuario no mostrar el Hltimo nombre de usuario Gabilitada Gabilitada Gabilitada no re+uerir *trlUAltU"u&r Des$abilitado Des$abilitado Des$abilitado te;to del mensa,e &ara los usuarios +ue intentan iniciar una sesin 2*onsulte con las &ersonas 2*onsulte con las &ersonas 2*onsulte con las &ersonas Page 53 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx &ertinentes en su organizacin43 &ertinentes en su organizacin43 &ertinentes en su organizacin43 ttulo del mensa,e &ara los usuarios +ue intentan iniciar una sesin 2*onsulte con las &ersonas &ertinentes en su organizacin43 2*onsulte con las &ersonas &ertinentes en su organizacin43 2*onsulte con las &ersonas &ertinentes en su organizacin43 nHm4 de inicios de sesin &revios en la cac$6 2en caso +ue el controlador de dominio no est6 dis&onible3 1 0 0 &edir al usuario cambiar la contraseCa antes de +ue cadu+ue 1@ das 1@ das 1@ das re+uerir la autenticacin del controlador de dominio &ara desblo+uear el e+ui&o Gabilitada Gabilitada Gabilitada necesita una tar,eta inteligente ?o est9 definido ?o est9 definido Des$abilitado com&ortamiento de e;traccin de tar,eta inteligente ?o est9 definido Flo+uear estacin de traba,o Flo+uear estacin de traba,o
7nicio de sesi+n interacti%o: mostrar in'ormaci+n de usuario cuando se $lo*uee la sesi+n (sta configuracin de directiva determina si el nombre de cuenta del Hltimo usuario +ue inicia sesin en los e+ui&os cliente de la organizacin se mostrar9 en la &antalla de inicio de sesin de indo!s corres&ondiente de cada e+ui&o4 "i se $abilita: los intrusos no &odr9n ver los nombres de cuenta en las &antallas de los e+ui&os de escritorio o &ort9tiles de la organizacin4 7nicio de sesi+n interacti%o: mostrar in'ormaci+n de usuario cuando se $lo*uee la sesi+n se configura como 0o est de'inido &ara los entornos 8* 7 (*: Page 54 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 7 como 0om$re para mostrar del usuario) dominio nom$res de usuario en la directiva de servidor de lnea de base &ara el entorno ""8E4 7nicio de sesi+n interacti%o: no mostrar el Eltimo nom$re de usuario (sta configuracin de directiva determina si se mostrar9 en la &antalla de inicio de sesin de indo!s el nombre del Hltimo usuario +ue inici una sesin en el e+ui&o4 "i se $abilita: no se mostrar9 el nombre del Hltimo usuario +ue inici una sesin en el cuadro de di9logo 7niciar sesi+n en 2indo3s4 7nicio de sesi+n interacti%o: no mostrar el Eltimo nom$re de usuario se configura como 8a$ilitado en la directiva de servidor de lnea de base &ara los tres entornos definidos en esta gua4 7nicio de sesi+n interacti%o: no re*uerir CtrlH5ltHSupr (sta configuracin de directiva determina si un usuario debe &resionar *trlUAltU"u&r &ara &oder iniciar sesin4 "i se des$abilita: todos los usuarios deber9n &resionar *trlUAltU"u&r &ara &oder iniciar sesin en indo!s 2a menos +ue utilicen una tar,eta inteligente &ara el inicio de sesin de indo!s34 7nicio de sesi+n interacti%o: no re*uerir CtrlH5ltHSupr se configura como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua con el fin de reducir las &robabilidades de +ue un atacante &ueda interce&tar las contraseCas de los usuarios mediante un &rograma de caballo de 5ro7a4 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una sesi+n (sta configuracin de directiva es&ecifica un mensa,e de te;to +ue le a&arece a los usuarios cuando inician sesin4 ?ormalmente: este te;to se utiliza con fines legalesD &or e,em&lo: &ara advertir a los usuarios acerca de las ramificaciones del acceso no autorizado: el uso incorrecto de informacin em&resarial o +ue es &osible +ue se va7an a auditar las acciones +ue realicen4 "e recomienda utilizar la configuracin de la o&cin de seguridad 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una sesi+n4 *onsulte a las &ersonas &ertinentes de su organizacin &ara decidir el contenido de este te;to4 0ota: tanto 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una sesi+n como 7nicio de sesi+n interacti%o: t/tulo del mensa:e para los usuarios *ue intentan iniciar una sesi+n deben estar $abilitadas &ara +ue una u otra funcionen correctamente4 Page 55 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 7nicio de sesi+n interacti%o: t/tulo del mensa:e para los usuarios *ue intentan iniciar una sesi+n (sta configuracin de directiva &ermite es&ecificar un ttulo en la barra de ttulo del cuadro de di9logo de inicio de sesin interactivo +ue a&arece cuando los usuarios inician sesin en el e+ui&o4 8a razn de ser de esta configuracin de directiva es la misma +ue la de .exto del mensa:e para los usuarios *ue intentan iniciar una sesi+n4 0or tanto: se recomienda usar la configuracin 7nicio de sesi+n interacti%o: t/tulo del mensa:e para los usuarios *ue intentan iniciar una sesi+n4 *onsulte a las &ersonas &ertinentes de su organizacin &ara decidir el contenido de este te;to4 0ota: tanto 7nicio de sesi+n interacti%o: texto del mensa:e para los usuarios *ue intentan iniciar una sesi+n como 7nicio de sesi+n interacti%o: t/tulo del mensa:e para los usuarios *ue intentan iniciar una sesi+n deben estar $abilitadas &ara +ue una u otra funcione correctamente4 7nicio de sesi+n interacti%o: nEm. de inicios de sesi+n pre%ios en la cachB (en caso *ue el controlador de dominio no estB disponi$le) (sta configuracin de directiva determina si un usuario &uede iniciar sesin en un dominio de indo!s con informacin de cuenta almacenada en cac$64 8a informacin de inicio de sesin de las cuentas de dominio se &uede almacenar localmente en cac$6 de modo +ue si no es &osible &onerse en contacto con un controlador de dominio en los inicios de sesin siguientes: el usuario &ueda iniciar sesin4 (sta ca&acidad &uede &ermitir a los usuarios iniciar sesin des&u6s de +ue su cuenta se $a7a des$abilitado o eliminado: 7a +ue la estacin de traba,o no se &one en contacto con el controlador de dominio4 (sta configuracin de directiva determina el nHmero de usuarios Hnicos cu7a informacin de inicio de sesin se almacena localmente en cac$64 "i se configura como 0: se des$abilita la cac$6 de inicio de sesin4 7nicio de sesi+n interacti%o: nEm. de inicios de sesi+n pre%ios en la cachB (en caso *ue el controlador de dominio no estB disponi$le) se configura como @ en la directiva de lnea de base &ara los entornos (* 7 ""8E4 (n el entorno 8*: se configura como 1 &ara &ermitir el acceso a los clientes legtimos +ue no &uedan &onerse en contacto con el controlador de dominio4 7nicio de sesi+n interacti%o: pedir al usuario cam$iar la contraseGa antes de *ue cadu*ue (sta configuracin de directiva determina con cu9ntos das de antelacin se advierte a los usuarios de +ue sus contraseCas est9n a &unto de caducar4 (n la seccin JDirectivas de cuentasJ del ca&tulo # se recomienda configurar las contraseCas de usuario &ara +ue cadu+uen &eridicamente4 "i no se notifica a los usuarios cuando sus contraseCas est9n a &unto de caducar: es &osible +ue no se den cuenta de ello $asta +ue $a7an caducado: lo +ue &odra alterar el funcionamiento normal 7 dificultar a los usuarios locales el cambio de las contraseCas4 *uando las contraseCas caducan sin +ue el usuario lo es&ere: los usuarios remotos tam&oco &ueden iniciar sesin a trav6s de cone;iones de redes &rivadas virtuales 2R0?3 o de acceso telefnico4 Page 56 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0or lo tanto: 7nicio de sesi+n interacti%o: pedir al usuario cam$iar la contraseGa antes de *ue cadu*ue se configura en el valor &redeterminado de 1@ das en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 7nicio de sesi+n interacti%o: re*uerir la autenticaci+n del controlador de dominio para des$lo*uear el e*uipo 0ara las cuentas de dominio: esta configuracin de directiva determina si es necesario &onerse en contacto con un controlador de dominio &ara desblo+uear un e+ui&o4 (sta configuracin de directiva aborda una vulnerabilidad &otencial similar a la de 7nicio de sesi+n interacti%o: re*uerir la autenticaci+n del controlador de dominio para des$lo*uear el e*uipo4 Kn usuario &odra desconectar el cable de red del servidor 7 desblo+uear el servidor con una contraseCa antigua 7 sin autenticacin4 0ara im&edir +ue esto ocurra: 7nicio de sesi+n interacti%o: re*uerir la autenticaci+n del controlador de dominio para des$lo*uear el e*uipo se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 7mportante: esta configuracin de directiva es a&licable a los e+ui&os +ue e,ecutan indo!s 2000: indo!s B0 7 indo!s "erver 200#: &ero no est9 dis&onible mediante las $erramientas del Administrador de configuracin de seguridad de los e+ui&os +ue e,ecutan indo!s 20004 7nicio de sesi+n interacti%o: necesita una tar:eta inteligente (sta configuracin de directiva re+uiere +ue los usuarios inicien sesin en un e+ui&o con una tar,eta inteligente4 8a seguridad me,ora cuando los usuarios est9n obligados a usar contraseCas largas 7 com&le,as &ara autenticarse: sobre todo si deben cambiar sus contraseCas &eridicamente4 (ste enfo+ue reduce la &osibilidad de +ue un atacante &ueda averiguar la contraseCa de un usuario a trav6s de un ata+ue de fuerza bruta4 "in embargo: es difcil conseguir +ue los usuarios eli,an una contraseCa seguraD adem9s: incluso las contraseCas seguras son vulnerables a los ata+ues de fuerza bruta4 (l uso de tar,etas inteligentes en lugar de contraseCas &ara la autenticacin aumenta la seguridad de forma mu7 notable: 7a +ue: con la tecnologa actual: es &r9cticamente im&osible +ue un atacante su&lante a otro usuario4 8as tar,etas inteligentes +ue &recisan nHmeros de identificacin &ersonal 2?I03 &ro&orcionan una autenticacin de dos factores: el usuario debe: &or un lado: &oseer la tar,eta inteligente 7: &or otro: conocer el ?I0 corres&ondiente4 Kn atacante +ue ca&turara el tr9fico de autenticacin entre el e+ui&o del usuario 7 el controlador de dominio se encontrara con verdaderas dificultades &ara descifrar el tr9fico 7: aun consigui6ndolo: la &r;ima vez +ue el usuario iniciara sesin en la red: se generara una clave de sesin nueva &ara cifrar el tr9fico entre el usuario 7 el controlador de dominio4 -icrosoft recomienda a las organizaciones migrar a tar,etas inteligentes o a otras tecnologas de autenticacin firme4 "in embargo: slo es necesario $abilitar 7nicio de Page 57 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx sesi+n interacti%o: necesita una tar:eta inteligente si 7a $a7 im&lementadas tar,etas inteligentes4 0or este motivo: esta configuracin de directiva se establece en 0o est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (ste &ar9metro de configuracin de directiva se establece como 4esha$ilitado en la directiva de lnea de base del entorno ""8E4 7nicio de sesi+n interacti%o: comportamiento de extracci+n de tar:eta inteligente (sta configuracin de directiva determina lo +ue ocurre cuando se +uita la tar,eta inteligente del lector de tar,etas inteligentes de un usuario +ue $a iniciado sesin4 "i se configura como &lo*uear estaci+n de tra$a:o: la estacin de traba,o se blo+uea cuando se +uita la tar,eta inteligente: lo +ue &ermite a los usuarios salir de la zona 7 llevarse las tar,etas inteligentes consigo4 "i se configura como Forzar cierre de sesi+n: la sesin del usuario se cerrar9 autom9ticamente cuando se +uite la tar,eta inteligente4 7nicio de sesi+n interacti%o: comportamiento de extracci+n de tar:eta inteligente se configura como 0o est de'inido en la directiva de lnea de base &ara el entorno 8* 7 como &lo*uear estaci+n de tra$a:o &ara los entornos (* 7 ""8E4 on$iguracin de cliente de redes de +icroso$t .a$la 4.1= -pciones de seguridad: recomendaciones de con'iguraci+n de cliente de redes de #icroso't Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada firmar digitalmente las comunicaciones 2siem&re3 Des$abilitado Gabilitada Gabilitada firmar digitalmente las comunicaciones 2si el servidor lo &ermite3 Gabilitada Gabilitada Gabilitada enviar contraseCa no cifrada &ara conectar "-F de otros fabricantes Des$abilitado Des$abilitado Des$abilitado
Page 58 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (siempre) (sta configuracin de directiva determina si el com&onente de cliente "-F re+uiere la firma de &a+uetes4 "i se $abilita: los clientes de redes de -icrosoft no &odr9n comunicarse con un servidor de red de -icrosoft salvo +ue dic$o servidor ace&te realizar la firma de &a+uetes "-F4 (n entornos mi;tos con clientes $eredados: esta o&cin se debe establecer en 4esha$ilitado: 7a +ue estos clientes no &odr9n autenticarse en los controladores de dominio ni obtener acceso a dic$os controladores4 "in embargo: se &uede usar esta o&cin en entornos +ue e,ecuten indo!s 2000: indo!s B0 7 indo!s "erver 200#4 8os entornos (* 7 ""8E definidos en esta gua slo contienen e+ui&os +ue e,ecutan estos sistemas o&erativos 7 todos ellos son com&atibles con firmas digitales4 0or tanto: &ara aumentar la seguridad de las comunicaciones entre los e+ui&os de este entorno: Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (siempre) se configura como 8a$ilitado en la directiva de lnea de base &ara los entornos (* 7 ""8E4 Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo permite) (sta configuracin de directiva determina si el cliente "-F intentar9 negociar las firmas de &a+uetes "-F4 8a im&lementacin de firmas digitales en redes indo!s a7uda a im&edir el secuestro de las sesiones4 "i se $abilita: el cliente de redes de -icrosoft de los servidores miembro solicitar9 firmas slo si los servidores con los +ue se comunica ace&tan la comunicacin firmada digitalmente4 Cliente de redes de #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo permite) se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Cliente de redes de #icroso't: en%iar contraseGa no ci'rada para conectar S#& de otros 'a$ricantes "i se $abilita: se &ermitir9 al redirector "-F enviar contraseCas de te;to sin formato a los servidores "-F +ue no sean de -icrosoft 7 +ue no sean com&atibles con el cifrado de contraseCas durante la autenticacin4 Cliente de redes de #icroso't: en%iar contraseGa no ci'rada para conectar S#& de otros 'a$ricantes se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua: salvo +ue los re+uisitos de la a&licacin anulen la necesidad de mantener secretas las contraseCas4 on$iguracin de servidor de red +icroso$t .a$la 4.1> -pciones de seguridad: recomendaciones de con'iguraci+n de ser%idor de red #icroso't Page 59 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada tiem&o de inactividad re+uerido antes de sus&ender la sesin 15 minutos 15 minutos 15 minutos firmar digitalmente las comunicaciones 2siem&re3 Des$abilitado Gabilitada Gabilitada firmar digitalmente las comunicaciones 2si el cliente lo &ermite3 Gabilitada Gabilitada Gabilitada desconectar a los clientes cuando termine el tiem&o de sesin Gabilitada Gabilitada Gabilitada
Ser%idor de red de #icroso't: tiempo de inacti%idad re*uerido antes de suspender la sesi+n (sta configuracin de directiva determina el tiem&o de inactividad continuado +ue debe transcurrir en una sesin "-F antes de +ue la sesin se sus&enda &or inactividad4 8os administradores &ueden utilizar esta configuracin de directiva &ara controlar el momento en el +ue un e+ui&o sus&ende una sesin "-F inactiva4 "i se reanuda la actividad del cliente: la sesin se restablece autom9ticamente4 Ser%idor de red #icroso't: tiempo de inacti%idad re*uerido antes de suspender la sesi+n se configura como 19 minutos en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Ser%idor de red de #icroso't: 'irmar digitalmente las comunicaciones (siempre) (sta configuracin de directiva determina si el com&onente de servidor "-F re+uiere la firma de &a+uetes antes de &ermitir cual+uier comunicacin con un cliente "-F4 indo!s 2000 "erver: indo!s 2000 0rofessional: indo!s "erver 200# 7 indo!s B0 0rofessional inclu7en versiones de "-F com&atibles con la autenticacin mutua: +ue im&iden los intentos de secuestrar sesiones 7 es com&atible con la autenticacin de mensa,es &ara evitar los ata+ues de ti&o J$ombre en el medioJ4 8a firma "-F &ro&orciona esta autenticacin colocando una firma digital en cada &a+uete "-F: +ue &osteriormente com&rueban el cliente 7 el servidor4 "i los e+ui&os se configuran &ara ignorar todas las comunicaciones "-F sin firmar: las a&licaciones Page 60 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 7 los sistemas o&erativos $eredados no se &odr9n conectar entre s4 "i las firmas "-F se des$abilitan com&letamente: los e+ui&os son vulnerables a ata+ues +ue intenten secuestrar sus sesiones de comunicacin4 Ser%idor de red #icroso't: 'irmar digitalmente las comunicaciones (siempre) se configura como 4esha$ilitado en la directiva de lnea de base &ara el entorno 8* 7 como 8a$ilitado &ara los entornos (* 7 ""8E4 Ser%idor de red de #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo permite) (sta configuracin de directiva determina si el servidor "-F negociar9 la firma de &a+uetes "-F con los clientes +ue lo soliciten4 indo!s 2000 "erver: indo!s 2000 0rofessional: indo!s "erver 200# 7 indo!s B0 0rofessional inclu7en versiones de "-F com&atibles con la autenticacin mutua: +ue blo+uea los intentos de secuestro de sesiones 7 es com&atible con la autenticacin de mensa,es &ara evitar los ata+ues de ti&o J$ombre en el medioJ4 8a firma "-F &ro&orciona esta autenticacin colocando una firma digital en cada &a+uete "-F: +ue &osteriormente com&rueban el cliente 7 el servidor4 "i los e+ui&os se configuran &ara ignorar todas las comunicaciones "-F sin firmar: las a&licaciones 7 los sistemas o&erativos $eredados no se &odr9n conectar entre s4 "i las firmas "-F se des$abilitan com&letamente: los e+ui&os son vulnerables a ata+ues +ue intenten secuestrar sus sesiones de comunicacin4 Ser%idor de red #icroso't: 'irmar digitalmente las comunicaciones (si el ser%idor lo permite) se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Ser%idor de red de #icroso't: desconectar a los clientes cuando termine el tiempo de sesi+n (sta configuracin de directiva determina si se desconectar9 a los usuarios +ue se conectan a un e+ui&o de red fuera de las $oras de inicio de sesin v9lidas asignadas a las cuentas de usuario corres&ondientes4 (sta configuracin de directiva afecta al com&onente "-F4 "i su organizacin $a configurado las $oras de inicio de sesin de los usuarios: resulta buena idea $abilitar esta configuracin de directiva4 De lo contrario: los usuarios no &odr9n tener acceso a los recursos de la red fuera de las $oras de inicio de sesin +ue les corres&onden o es &osible +ue sigan utilizando los recursos con sesiones iniciadas durante las $oras &ermitidas4 Ser%idor de red #icroso't: desconectar a los clientes cuando termine el tiempo de sesi+n se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 on$iguracin de acceso de red .a$la 4.1? -pciones de seguridad: recomendaciones de con'iguraci+n de acceso de red Page 61 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Con'iguraci+n Cliente heredado Cliente de empresa &ermitir traduccin "ID/nombre annima ?o est9 definido ?o est9 definido no &ermitir enumeraciones annimas de cuentas "A- Gabilitada Gabilitada no &ermitir enumeraciones annimas de cuentas 7 recursos com&artidos "A- Gabilitada Gabilitada no &ermitir el almacenamiento de credenciales o 4?(5 0ass&orts &ara la autenticacin del dominio Gabilitada Gabilitada de,a los &ermisos de 5odos &ara a&licarse a usuarios annimos Des$abilitado Des$abilitado canalizaciones con nombre accesibles annimamente ?o est9 definido ?o est9 definido Page 62 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx rutas de registro accesibles remotamente "7stemV*urrent*ontrol"etV*ontrolV0roduct %&tionsD "7stemV*urrent*ontrol"etV*ontrolV "erver A&&licationsD "oft!areV-icrosoftV indo!s ?5V*urrent Rersin "7stemV*urrent*ontrol"etV*ontrolV0roduct %&tionsD "7stemV*urrent*ontrol"etV*ontrolV "erver A&&licationsD "oft!areV-icrosoftV indo!s ?5V*urrent Rersin rutas 7 subrutas de registro accesibles remotamente 2consulte la siguiente subseccin &ara ver la informacin de configuracin3 2consulte la siguiente subseccin &ara ver la informacin de configuracin3 restringir acceso annimo a canalizaciones con nombre 7 recursos com&artidos Gabilitada Gabilitada recursos com&artidos accesibles annimamente ?o est9 definido ?o est9 definido modelo de seguridad 7 &ara com&artir &ara cuentas locales *l9sico: usuarios locales autenticados como ellos mismos *l9sico: usuarios locales autenticados como ellos mismos
5cceso de red: permitir traducci+n S74Inom$re an+nima (sta configuracin de directiva determina si un usuario annimo &uede solicitar atributos "ID &ara otro usuario4 "i est9 $abilitada: un usuario con acceso local &odr9 utilizar el "ID conocido de los administradores &ara obtener el nombre real de la cuenta de administrador integrada: incluso si se $a cambiado su nombre4 (sa &ersona &odra entonces utilizar la cuenta &ara iniciar un ata+ue de contraseCa4 Page 63 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5cceso de red: permitir traducci+n S74Inom$re an+nima se configura como 0o est de'inido en la directiva de lnea de base &ara los entornos 8* 7 (*4 (ste &ar9metro de configuracin de directiva se establece como 4esha$ilitado en la directiva de lnea de base del entorno ""8E4 5cceso a redes: no permitir enumeraciones an+nimas de cuentas S5# (sta configuracin de directiva determina los &ermisos adicionales +ue se otorgar9n &ara las cone;iones annimas al e+ui&o4 indo!s &ermite a los usuarios annimos realizar determinadas actividades: como la enumeracin de los nombres de las cuentas de dominio4 (sta o&cin resulta Htil: &or e,em&lo: cuando un administrador desea conceder acceso a usuarios en un dominio de confianza +ue no mantiene una confianza rec&roca4 "in embargo: aun+ue esta configuracin est6 $abilitada: los usuarios annimos tendr9n acceso a cual+uier recurso +ue tenga &ermisos +ue inclu7an de forma e;&lcita el gru&o integrado es&ecial 707C7- 4E SES7J0 50J07#-4 5cceso a redes: no permitir enumeraciones an+nimas de cuentas S5# se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 5cceso a redes: no permitir enumeraciones an+nimas de cuentas recursos compartidos S5# (sta configuracin de directiva determina si se &ermite la enumeracin annima de las cuentas 7 recursos com&artidos "A-4 5cceso a redes: no permitir enumeraciones an+nimas de cuentas recursos compartidos S5# se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 5cceso a redes: no permitir el almacenamiento de credenciales o .0E. (assports para la autenticaci+n del dominio (sta configuracin de directiva determina si las o&ciones de configuracin de 0om$res de usuarios contraseGas almacenados guardar9n las contraseCas: credenciales o datos de -icrosoft 4?(5 0ass&ort &ara su uso &osterior una vez lograda la autenticacin en el dominio4 5cceso a redes: no permitir el almacenamiento de credenciales o .0E. (assports para la autenticaci+n del dominio se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: los cambios en la configuracin de este &ar9metro de directiva no tendr9n efecto $asta +ue se reinicie indo!s4 Page 64 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5cceso de red: de:a los permisos de .odos para aplicarse a usuarios an+nimos (sta configuracin de directiva determina los &ermisos adicionales +ue se otorgan &ara las cone;iones annimas al e+ui&o4 "i se $abilita: los usuarios annimos de indo!s &ueden realizar determinadas actividades: como la enumeracin de nombres de cuentas de dominio 7 recursos com&artidos de red4 Kn usuario no autorizado &odra obtener de forma annima una lista de los nombres de las cuentas 7 los recursos com&artidos 7 utilizar dic$a informacin &ara intentar adivinar contraseCas o realizar ata+ues de ingeniera social4 0or lo tanto: 5cceso de red: de:a *ue los permisos de .odos se apli*uen a los usuarios an+nimos se configura como 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: los dominios con esta configuracin de directiva no &odr9n establecer o mantener confianzas con dominios o controladores de dominio con indo!s ?5 @404 5cceso de red: canalizaciones con nom$re accesi$les an+nimamente (sta configuracin de directiva determina +u6 sesiones de comunicacin 2canalizaciones con nombre3 tendr9n atributos 7 &ermisos +ue les &ermitan el acceso annimo4 Debe a&licar los valores &redeterminados de la configuracin 5cceso de red: canalizaciones con nom$re accesi$les an+nimamente en el entorno ""8E4 8os valores &redeterminados constan de las siguientes canalizaciones con nombre: *%-?A0: acceso de sesin de "?A *%-?%D(: acceso de sesin de "?A "T8VTK('N: acceso de instancia de "T8 "0%%8"": servicio de cola de im&resin 88"'0*: servicio de registro de licencias ?etlogon: servicio de inicio de sesin de red 8sar&c: acceso de 8"A "amr: acceso de "A- e;&lorador: servicio del e;&lorador del e+ui&o 7mportante: si necesita $abilitar esta configuracin de directiva: asegHrese de agregar solamente las canalizaciones con nombre +ue sean necesarias &ara las a&licaciones de su entorno4 Al igual +ue sucede con todas las configuraciones recomendadas en esta gua: esta configuracin de directiva se debe &robar detenidamente con antelacin en el entorno de &roduccin4 Page 65 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5cceso de red: rutas de <egistro accesi$les remotamente (sta configuracin de directiva determina las rutas de 'egistro a las +ue se &odr9 obtener acceso a trav6s de la red4 5cceso de red: rutas de <egistro accesi$les remotamente se configura en el valor &redeterminado en las &lantillas de seguridad de lnea de base &ara los tres entornos definidos en esta gua4 0ota: aun+ue se establezca esta configuracin de directiva: se debe iniciar tambi6n el servicio del sistema 'egistro remoto si los usuarios autorizados deben tener acceso al 'egistro a trav6s de la red4 5cceso de red: rutas su$rutas de <egistro accesi$les remotamente (sta configuracin de directiva determina las rutas 7 subrutas de 'egistro a las +ue se &odr9 obtener acceso a trav6s de la red4 8os valores &redeterminados de la configuracin 5cceso de red: rutas su$rutas de <egistro accesi$les remotamente se a&lican mediante las &lantillas de seguridad de lnea de base &ara los tres entornos definidos en esta gua4 8os valores &redeterminados constan de las siguientes rutas 7 subrutas: "7stemV*urrent*ontrol"etV*ontrolV0rintV0rinters "7stemV*urrent*ontrol"etV"ervicesV(ventlog "oft!areV-icrosoftV%8A0 "erver "oft!areV-icrosoftVindo!s ?5V*urrentRersionV0rint "oft!areV-icrosoftVindo!s ?5V*urrentRersionVindo!s "7stemV*urrent*ontrol"etV*ontrolV*ontentInde; "7stemV*urrent*ontrol"etV*ontrolV5erminal "erver "7stemV*urrent*ontrol"etV*ontrolV5erminal "erverVKser*onfig "7stemV*urrent*ontrol"etV*ontrolV5erminal "erverVDefaultKser*onfiguration "oft!areV-icrosoftVindo!s ?5V*urrentRersionV0erflib "7stemV*urrent*ontrol"etV"ervicesV"7smon8og 5cceso de red: restringir acceso an+nimo a canalizaciones con nom$re recursos compartidos (sta configuracin de directiva se &uede utilizar &ara restringir el acceso annimo a recursos com&artidos 7 canalizaciones con nombre en las configuraciones siguientes: Page 66 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5cceso de red: canalizaciones con nom$re accesi$les an+nimamente 5cceso de red: recursos compartidos accesi$les an+nimamente 5cceso de red: restringir acceso an+nimo a canalizaciones con nom$re recursos compartidos se configura en el valor &redeterminado 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 5cceso de red: recursos compartidos accesi$les an+nimamente (sta configuracin de directiva determina los recursos com&artidos de red a los +ue &odr9n obtener acceso los usuarios annimos4 8a configuracin &redeterminada de esta o&cin tiene &ocas re&ercusiones: 7a +ue todos los usuarios se deben autenticar antes de &oder obtener acceso a los recursos com&artidos del servidor4 5cceso de red: recursos compartidos accesi$les an+nimamente se configura como 0o est de'inido &ara los entornos 8* 7 (* 7 como 0inguno &ara el entorno ""8E4 0ota: esta configuracin de directiva &uede ser mu7 &eligrosa: &or+ue cual+uier usuario de la red &uede tener acceso a los recursos com&artidos +ue se enumeran4 8os datos confidenciales &odran verse e;&uestos o daCados si se $abilita esta configuracin de directiva4 5cceso de red: modelo de seguridad para compartir para cuentas locales (sta configuracin de directiva determina cmo se autentican los inicios de sesin de red +ue utilizan cuentas locales4 8a configuracin Clsico ofrece un me,or control sobre el acceso a los recursos 7 &ermite otorgar ti&os de acceso diferentes a distintos usuarios &ara el mismo recurso4 8a configuracin S+lo in%itado &ermite tratar a todos los usuarios del mismo modo4 (n este conte;to: todos los usuarios se autentican como S+lo in%itado &ara +ue tengan el mismo nivel de acceso a un recurso determinado4 5cceso de red: modelo de seguridad recursos compartidos para cuentas locales se configura en el valor &redeterminado Clsico en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 on$iguracin de seguridad de red .a$la 4.!@ -pciones de seguridad: recomendaciones de con'iguraci+n de seguridad de red Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada Page 67 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx no almacenar valor de $as$ de 8A? -anager en el &r;imo cambio de contraseCa Gabilitada Gabilitada Gabilitada nivel de autenticacin de 8A? -anager (nviar slo res&uesta ?58-v2 (nviar slo res&uesta ?58-v2 Vrec$azar 8- (nviar slo res&uesta ?5 8an -anager versin 2 Vrec$azar 8an -anager 7 ?5 8an -anager re+uisitos de firma de cliente 8DA0 ?egociar firma ?egociar firma ?egociar firma seguridad mnima de sesin &ara clientes basados en ?58- ""0 2inclu7endo '0* seguro3 "in mnimo Gabilitado todas las o&ciones Gabilitado todas las o&ciones seguridad mnima de sesin &ara servidores basados en ?58- ""0 2inclu7endo '0* seguro3 "in mnimo Gabilitado todas las o&ciones Gabilitado todas las o&ciones
Seguridad de red: no almacenar %alor de hash de L50 #anager en el pr+ximo cam$io de contraseGa (sta configuracin de directiva determina si el valor de $as$ de 8A? -anager 28-3 &ara la contraseCa nueva se almacena al cambiar la contraseCa4 (l $as$ de 8- es relativamente d6bil 7 &ro&enso a ata+ues en com&aracin con el $as$ de indo!s ?5: m9s seguro desde el &unto de vista cri&togr9fico4 0or este motivo: Seguridad de red: no almacenar %alor de hash de L50 #anager en el pr+ximo cam$io de contraseGa se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos de seguridad definidos en esta gua4 0ota: &uede +ue los sistemas o&erativos $eredados mu7 antiguos 7 algunas a&licaciones no funcionen correctamente al $abilitar esta configuracin de directiva4 Asimismo: ser9 necesario cambiar la contraseCa de todas las cuentas tras $abilitarla4 Page 68 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Seguridad de red: ni%el de autenticaci+n de L50 #anager (sta configuracin de directiva determina +u6 &rotocolo de autenticacin desafo/res&uesta se utiliza &ara los inicios de sesin de red4 (sta o&cin afecta al nivel de &rotocolo de autenticacin utilizado &or los e+ui&os cliente: al nivel de seguridad negociado 7 al nivel de autenticacin ace&tado &or los servidores: tal 7 como se detalla a continuacin4 8os nHmeros de la siguiente tabla son los valores reales del valor del 'egistro L#Compati$ilitLe%el4 .a$la 4.!1 Con'iguraci+n del %alor del <egistro L#Compati$ilitLe%el Dalor (rotocolo 0 8os clientes utilizan la autenticacin 8an -anager 7 ?58-: 7 nunca usan la seguridad de sesin ?58-v24 1 8os clientes utilizan la autenticacin 8an -anager 7 ?58-: as como la seguridad de sesin ?58-v2 si el servidor la admite4 2 8os clientes utilizan slo la autenticacin ?58- 7 la seguridad de sesin ?58-v2 si el servidor la admite4 # 8os clientes utilizan slo la autenticacin ?58-v2 7 la seguridad de sesin ?58-v2 si el servidor la admite4 @ 8os clientes utilizan slo la autenticacin ?58- 7 la seguridad de sesin ?58-v2 si el servidor la admite4 (l controlador de dominio rec$aza la autenticacin 8an -anager4 5 8os clientes utilizan slo la autenticacin ?58-v2 7 la seguridad de sesin ?58-v2 si el servidor la admite4 (l controlador de dominio rec$aza la autenticacin 8an -anager 7 ?58- 7 Hnicamente ace&ta ?58-v24
(sta configuracin de directiva se debe establecer con el nivel m9s alto +ue &ermita el entorno segHn las siguientes instrucciones: (n un entorno +ue slo inclu7a indo!s ?5 @40 "0@: indo!s 2000 7 indo!s B0 0rofessional: establezca esta configuracin de directiva como En%iar s+lo respuesta 0.L#%!1rechazar L# 0.L# en todos los clientes 7: a continuacin: como En%iar s+lo respuesta 0.L#%!1rechazar L# 0.L# en todos los servidores una vez configurados todos los clientes4 8a e;ce&cin a esta recomendacin son los servidores Page 69 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx de enrutamiento 7 acceso remoto de indo!s "erver 200#: +ue no funcionar9n correctamente si se configura esta o&cin de directiva con un valor su&erior a En%iar s+lo respuesta 0.L#%!1rechazar L#4 (s &osible +ue el entorno (* deba ser com&atible con servidores de enrutamiento 7 acceso remotoD &or ello: &ara este entorno: Seguridad de red: ni%el de autenticaci+n de L50 #anager se configura como En%iar s+lo respuesta 0.L#%!1rechazar L# en la directiva de lnea de base4 8os servidores de enrutamiento 7 acceso remoto no son com&atibles con el entorno ""8E: &or lo +ue esta configuracin de directiva se configura como En%iar s+lo respuesta 0.L#%! 1rechazar L# 0.L#4 "i e;isten clientes con indo!s >; en los +ue se &uede instalar D"*lient: se debe configurar como En%iar s+lo respuesta 0.L#%!1rechazar L# 0.L# en los e+ui&os +ue e,ecuten indo!s ?5 2indo!s ?5: indo!s 2000 7 indo!s B0 0rofessional34 (n caso contrario: se debe de,ar configurada en un valor no su&erior a En%iar s+lo respuesta 0.L#%! en la directiva de lnea de base &ara los e+ui&os +ue no e,ecuten indo!s >;: +ue es la configuracin &ara el entorno 8*4 "i detecta +ue $a7 a&licaciones +ue dan error cuando se $abilita esta configuracin de directiva: des$aga el &rocedimiento realizado &aso a &aso &ara descubrir dnde est9 el error4 *omo mnimo: esta configuracin de directiva se debe establecer en En%iar Lan #anager 0. Lan #anager: usar la seguridad de sesi+n 0. Lan #anager %ersi+n ! si se negocia en la directiva de lnea de base en todos los e+ui&os4 ?ormalmente: se &uede configurar como En%iar s+lo respuesta 0.L#%! en todos los e+ui&os del entorno4 Seguridad de red: re*uisitos de 'irma de cliente L45( (sta configuracin de directiva determina el nivel de firma de datos +ue se solicita en nombre de los clientes +ue emiten solicitudes FI?D de 8DA04 (l tr9fico de red sin firmar es susce&tible de sufrir ata+ues de ti&o J$ombre en el medioJ4 (n el caso de un servidor 8DA0: un atacante &odra $acer +ue un cliente tomara decisiones en funcin de consultas falsas del cliente 8DA04 0or lo tanto: Seguridad de red: re*uisitos de 'irma de cliente L45( se configura como 0egociar 'irma en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Seguridad de red: seguridad m/nima de sesi+n para clientes $asados en 0.L# SS( (incluendo <(C seguro) (sta configuracin de directiva &ermite a un cliente solicitar la negociacin de confidencialidad de mensa,e 2cifrado3: firma de mensa,e: cifrado de 12A bits o seguridad de sesin ?58- versin 2 2?58-v234 (stablezca esta configuracin de directiva en un nivel de seguridad tan alto como sea &osible: &ero recuerde +ue todava necesitar9 &ermitir el funcionamiento de las a&licaciones en la red4 Kna configuracin a&ro&iada en esta o&cin de directiva a7udar9 a asegurar +ue el tr9fico Page 70 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx de red desde los servidores basados en ""0 de ?58- est6 &rotegido de los ata+ues de ti&o J$ombre en el medioJ 7 de la e;&osicin de los datos4 Seguridad de red: seguridad m/nima de sesi+n para clientes $asados en 0.L# SS( (incluendo <(C seguro) se configura como Sin m/nimo en la directiva de lnea de base &ara el entorno 8*4 5oda configuracin se $abilita &ara los entornos (* 7 ""8E4 Seguridad de red: seguridad m/nima de sesi+n para ser%idores $asados en 0.L# SS( (incluendo <(C seguro) (sta configuracin de directiva &ermite a un servidor solicitar la negociacin de confidencialidad de mensa,e 2cifrado3: integridad de mensa,e: cifrado de 12A bits o seguridad de sesin ?58-v24 (stablezca esta configuracin de directiva en un nivel de seguridad tan alto como sea &osible: &ero recuerde +ue todava necesitar9 &ermitir el funcionamiento de las a&licaciones en la red4 Al igual +ue en el caso de la configuracin de directiva anterior: una configuracin a&ro&iada de esta o&cin de directiva a7udar9 a asegurar +ue el tr9fico de red desde los clientes basados en ""0 de ?58- est6 &rotegido de los ata+ues de ti&o J$ombre en el medioJ 7 de la e;&osicin de los datos4 Seguridad de red: seguridad m/nima de sesi+n para ser%idores $asados en 0.L# SS( (incluendo <(C seguro) se configura como Sin m/nimo en la directiva de lnea de base &ara el entorno 8*4 5oda configuracin se $abilita &ara los entornos (* 7 ""8E4 on$iguracin de onsola de recuperacin .a$la 4.!! -pciones de seguridad: recomendaciones de con'iguraci+n de Consola de recuperaci+n Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada &ermitir el inicio de sesin administrativo autom9tico Des$abilitado Des$abilitado Des$abilitado &ermitir la co&ia de dis+uetes 7 el acceso a todas las unidades 7 car&etas Gabilitada Gabilitada Des$abilitado
Page 71 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Consola de recuperaci+n: permitir el inicio de sesi+n administrati%o automtico (sta configuracin de directiva determina si la contraseCa de la cuenta de administrador se debe &ro&orcionar antes de +ue se conceda el acceso al e+ui&o4 "i se $abilita: la *onsola de recu&eracin no re+uiere +ue se es&ecifi+ue una contraseCa e inicia autom9ticamente la sesin en el e+ui&o4 8a *onsola de recu&eracin &uede ser mu7 Htil cuando es necesario traba,ar con e+ui&os +ue tienen &roblemas de inicio4 ?o obstante: $abilitar esta configuracin &uede ser &er,udicial &or+ue cual+uier &ersona &uede acercarse al servidor: desconectarlo de la alimentacin el6ctrica &ara a&agarlo: reiniciarlo: seleccionar Consola de recuperaci+n en el menH <einiciar 7 asumir &leno control del servidor4 0or lo tanto: Consola de recuperaci+n: permitir el inicio de sesi+n administrati%o automtico se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ara utilizar la *onsola de recu&eracin cuando esta o&cin est6 des$abilitada: el usuario deber9 introducir un nombre de usuario 7 una contraseCa &ara obtener acceso a la cuenta de la *onsola de recu&eracin4 Consola de recuperaci+n: permitir la copia de dis*uetes el acceso a todas las unidades carpetas 0uede $abilitar esta configuracin de directiva &ara +ue est6 dis&onible el comando SE. de la *onsola de recu&eracin: +ue &ermite establecer las siguientes variables de entorno de la *onsola de recu&eracin: 5llo32ildCards: $abilita la com&atibilidad con comodines &ara algunos comandos 2como el comando D(834 5llo35ll(aths: &ermite el acceso a todos los arc$ivos 7 car&etas del e+ui&o4 5llo3<emo%a$le#edia: &ermite la co&ia de arc$ivos en medios e;trables: como un dis+uete4 0oCop(rompt: no se solicita confirmacin al sobrescribir un arc$ivo e;istente4 0ara una seguridad m9;ima: Consola de recuperaci+n: permitir la copia de dis*uetes el acceso a todas las unidades carpetas se configura como 4esha$ilitado en la directiva de lnea de base &ara el entorno ""8E4 "in embargo: esta configuracin de directiva se establece como 8a$ilitada &ara los entornos 8* 7 (*4 on$iguracin de apagado .a$la 4.!6 -pciones de seguridad: recomendaciones de con'iguraci+n de apagado Page 72 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada &ermitir a&agar el sistema sin tener +ue iniciar sesin Des$abilitado Des$abilitado Des$abilitado borrar el arc$ivo de &9ginas de la memoria virtual Des$abilitado Des$abilitado Des$abilitado
5pagado: permitir apagar el sistema sin tener *ue iniciar sesi+n (sta configuracin de directiva determina si un usuario +ue no es necesario +ue inicie sesin en el sistema o&erativo indo!s &uede a&agar un e+ui&o4 8os usuarios +ue &ueden obtener acceso a la consola &ueden a&agar el sistema4 Kn atacante o usuario con malas intenciones &odra conectarse al servidor mediante "ervicios de 5erminal "erver 7 a&agarlo o reiniciarlo sin necesidad de identificarse4 0or lo tanto: 5pagado: permitir apagar el sistema sin tener *ue iniciar sesi+n se configura en el valor &redeterminado 4esha$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 5pagado: $orrar el archi%o de paginaci+n de la memoria %irtual (sta configuracin de directiva determina si el arc$ivo de &aginacin de memoria virtual se borra cuando se a&aga el e+ui&o4 "i est9 $abilitada: el arc$ivo de &aginacin del sistema se borra cada vez +ue el e+ui&o se a&aga debidamente4 "i se $abilita esta configuracin de directiva: el arc$ivo de $ibernacin 2Giberfil4s7s3 se borra tambi6n cuando se des$abilita la $ibernacin en un e+ui&o &ort9til4 A&agar 7 reiniciar el servidor llevar9 m9s tiem&o 7 se notar9 es&ecialmente en los servidores +ue tengan arc$ivos de &aginacin m9s grandes4 0or estas razones: 5pagado: $orrar el archi%o de paginaci+n de la memoria %irtual se configura como 8a$ilitado en los tres entornos definidos en esta gua4 0ota: un atacante +ue tenga acceso fsico al servidor &odra sim&lemente desconectar el servidor de la fuente de alimentacin &ara &asar &or alto esta contramedida4 Page 73 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx on$iguracin de la criptogra$'a de sistema .a$la 4.!4 -pciones de seguridad: recomendaciones de con'iguraci+n de criptogra'/a de sistema Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada forzar la &roteccin de clave segura &ara las claves de usuario almacenadas en el e+ui&o "e ®untar9 al usuario cuando se use la clave &or &rimera vez "e ®untar9 al usuario cuando se use la clave &or &rimera vez (l usuario debe introducir una contraseCa cada vez +ue use una clave usar algoritmos +ue cum&lan la norma EI0" &ara cifrado: firma 7 o&eraciones $as$ Des$abilitado Des$abilitado Gabilitada
Criptogra'/a de sistema: esta$lece una protecci+n 'uerte de cla%e para las a*uellas cla%es del usuario en el e*uipo (sta configuracin de directiva determina si las claves &rivadas de los usuarios: como las claves "I-I-(: re+uieren una contraseCa &ara &oder utilizarse4 "i se configura &ara +ue los usuarios deban &ro&orcionar una contraseCa 2distinta de su contraseCa de dominio3 cada vez +ue utilicen una clave: ser9 m9s difcil +ue un atacante tenga acceso a las claves de usuario almacenadas localmente: incluso si 6ste descubre las contraseCas de inicio de sesin4 0ara satisfacer los re+uisitos de funcionalidad de los entornos 8* 7 (*: Criptogra'/a de sistema: esta$lece una protecci+n 'uerte de cla%e para las a*uellas cla%es del usuario en el e*uipo se configura como Se preguntar al usuario cuando se use la cla%e por primera %ez en la directiva de lnea de base4 0ara &ro&orcionar una seguridad adicional: esta configuracin de directiva se establece en El usuario de$e introducir una contraseGa cada %ez *ue use una cla%e &ara el entorno ""8E4 Criptogra'/a de sistema: usar algoritmos *ue cumplan la norma F7(S para ci'rado) 'irma operaciones hash (sta configuracin de directiva determina si el &roveedor de seguridad de 5rans&ort 8a7er "ecurit7/"ecure "oc1ets 8a7er 258"/""83 es com&atible slo con el con,unto Page 74 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx cifrado 58"O'"AOI5GO#D("O(D(O*F*O"GA4 Aun+ue esta configuracin de directiva aumente la seguridad: la ma7ora de los sitios !eb &Hblicos &rotegidos con 58" o ""8 no son com&atibles con estos algoritmos4 -uc$os e+ui&os cliente tam&oco est9n configurados &ara ofrecer com&atibilidad con estos algoritmos4 0or estas razones: Criptogra'/a de sistema: usar algoritmos *ue cumplan la norma F7(S para ci'rado) 'irma operaciones hash se configura como 4esha$ilitado en la directiva de lnea de base &ara los entornos 8* 7 (*4 (sta configuracin de directiva se establece como 8a$ilitado &ara el entorno ""8E4 on$iguracin de objetos de sistema .a$la 4.!9 -pciones de seguridad: recomendaciones de con'iguraci+n de o$:etos de sistema Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada &ro&ietario &redeterminado &ara ob,etos creados &or miembros del gru&o de administradores *reador de ob,etos *reador de ob,etos *reador de ob,etos re+uerir diferenciacin de ma7Hsculas 7 minHsculas &ara subsistemas no basados en indo!s Gabilitada Gabilitada Gabilitada reforzar los &ermisos &redeterminados de los ob,etos internos del sistema 2&4 e,4: vnculos simblicos3 Gabilitada Gabilitada Gabilitada
-$:etos de sistema: propietario predeterminado para o$:etos creados por miem$ros del grupo de administradores (sta configuracin de directiva determina si el gru&o 5dministradores o un creador de ob,etos es el &ro&ietario &redeterminado de cual+uier ob,eto de sistema +ue se $a7a creado4 *uando se crean ob,etos de sistema: la &ro&iedad de 6stos indicar9 +u6 cuenta los $a creado: en lugar del gru&o 5dministradores: +ue es m9s gen6rico4 Page 75 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx -$:etos de sistema: propietario predeterminado para o$:etos creados por miem$ros del grupo de administradores se configura como Creador de o$:etos en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 -$:etos de sistema: re*uerir di'erenciaci+n de maEsculas minEsculas para su$sistemas no $asados en 2indo3s (sta configuracin de directiva determina si no se a&lica diferenciacin de ma7Hsculas 7 minHsculas en todos los subsistemas4 (l subsistema -icrosoft in#2. no distingue ma7Hsculas de minHsculas4 ?o obstante: el nHcleo admite la distincin de ma7Hsculas 7 minHsculas &ara otros subsistemas: como la Interfaz de sistema o&erativo &ort9til de K?IB 20%"IB34 Dado +ue indo!s no distingue ma7Hsculas de minHsculas 7 +ue el subsistema 0%"IB es com&atible con esta caracterstica: si no se a&lica esta configuracin es &osible +ue un usuario del subsistema 0%"IB cree un arc$ivo con el mismo nombre +ue otro si utiliza ma7Hsculas 7 minHsculas en el nombre4 (sto &odra blo+uear el acceso de otro usuario a estos arc$ivos con $erramientas normales de in#2: &or+ue slo estara dis&onible uno de esos arc$ivos4 0ara garantizar la co$erencia de los nombres de arc$ivo: -$:etos de sistema: re*uerir di'erenciaci+n de maEsculas minEsculas para su$sistemas no $asados en 2indo3s se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 -$:etos de sistema: re'orzar los permisos predeterminados de los o$:etos internos del sistema (p. e:. %/nculos sim$+licos) (sta configuracin de directiva determina la seguridad de la lista de control de acceso discrecional 2DA*83 &redeterminada &ara los ob,etos 7 a7uda a &roteger los ob,etos +ue &ueden ser localizados 7 com&artidos entre &rocesos4 0ara reforzar la seguridad de la lista DA*8: se &uede usar el valor &redeterminado 8a$ilitado: +ue &ermite a los usuarios +ue no son administradores leer ob,etos com&artidos: &ero no modificar ninguno +ue no $a7an creado4 -$:etos de sistema: re'orzar los permisos predeterminados de los o$:etos internos del sistema (p. e:. %/nculos sim$+licos) se configura en el valor &redeterminado 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 on$iguracin del sistema .a$la 4.!; -pciones de seguridad: recomendaciones de con'iguraci+n del sistema Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada Page 76 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx *onfiguracin del sistema: "ubsistemas o&cionales ?inguno ?inguno ?inguno *onfiguracin del sistema: usar reglas de certificado en arc$ivos e,ecutables de indo!s &ara directivas de restriccin de soft!are ?o est9 definido Des$abilitado Gabilitada
Con'iguraci+n del sistema: Su$sistemas opcionales (sta configuracin de directiva determina los subsistemas +ue se utilizar9n &ara ofrecer com&atibilidad con las a&licaciones del entorno4 (l valor &redeterminado de esta configuracin de directiva en indo!s "erver 200# es (-S7K4 0ara des$abilitar el subsistema 0%"IB: Con'iguraci+n del sistema: Su$sistemas opcionales se configura como 0inguno en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Con'iguraci+n del sistema: usar reglas de certi'icado en archi%os e:ecuta$les de 2indo3s para directi%as de restricci+n de so't3are (sta configuracin de directiva determina si se &rocesan los certificados digitales cuando se $abilitan las directivas de restriccin de soft!are 7 un usuario o &roceso intenta e,ecutar soft!are con una e;tensin de nombre de arc$ivo 4e;e4 Gabilita o des$abilita las reglas de certificado 2un ti&o de regla de directivas de restriccin de soft!are34 *on las directivas de restriccin de soft!are: se &uede crear una regla de certificado +ue &ermita o im&ida la e,ecucin de soft!are firmado con Aut$enticode.: segHn el certificado digital asociado al soft!are4 0ara +ue las reglas de certificado surtan efecto en las directivas de restriccin de soft!are: se debe $abilitar esta configuracin de directiva4 Con'iguraci+n del sistema: usar reglas de certi'icado en archi%os e:ecuta$les de 2indo3s para directi%as de restricci+n de so't3are se configura como 8a$ilitado en el entorno ""8E4 "in embargo: se configura como 4esha$ilitado en el entorno (* 7 como 0o est de'inido en el entorno 8* debido a la &osible re&ercusin sobre el rendimiento4 0rinci&io de la &9gina $egistro de eventos (l registro de eventos registra los eventos del e+ui&o: 7 el registro de seguridad: los eventos de auditora4 (l contenedor del registro de eventos de la directiva de gru&o se utiliza &ara definir los atributos de los registros de eventos de a&licacin: Page 77 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx seguridad 7 sistemaD &or e,em&lo: el tamaCo m9;imo del registro: los derec$os de acceso &ara cada registro: 7 la configuracin 7 los m6todos de retencin4 8as configuraciones de los registros de eventos de a&licacin: seguridad 7 sistema se establecen en la directiva -"F0 7 se a&lican a todos los servidores miembro del dominio4 0uede establecer la configuracin del registro de eventos en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad1<egistro de e%entos (n esta seccin se &ro&orcionan detalles sobre la configuracin recomendada &ara los registros de eventos en la directiva -"F0 &ara los tres entornos definidos en esta gua4 0ara obtener un resumen de las configuraciones recomendadas en esta seccin: consulte el libro de -icrosoft (;cel Jindo!s "erver 200# "ecurit7 )uide "ettingsJ: +ue est9 dis&onible en la versin descargable de esta gua4 0ara obtener informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada sobre cada una de las configuraciones descritas en este ca&tulo: consulte la gua com&lementaria Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP: +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515> 1 4 8a tabla siguiente inclu7e recomendaciones de configuracin del registro de eventos &ara los tres entornos definidos en esta gua4 8a informacin adicional de cada configuracin se &ro&orciona en las subsecciones +ue se muestran des&u6s de la tabla4 .a$la 4.!= <ecomendaciones de con'iguraci+n del registro de e%entos Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada 5amaCo m9;imo del registro de la a&licacin 1L4#A@ MF 1L4#A@ MF 1L4#A@ MF 5amaCo m9;imo del registro de seguridad A14>20 MF A14>20 MF A14>20 MF 5amaCo m9;imo del registro del sistema 1L4#A@ MF 1L4#A@ MF 1L4#A@ MF Page 78 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx (vitar +ue el gru&o de invitados locales tenga acceso al registro de a&licaciones Gabilitada Gabilitada Gabilitada (vitar +ue el gru&o de invitados locales tenga acceso al registro de seguridad Gabilitada Gabilitada Gabilitada (vitar +ue el gru&o de invitados locales tenga acceso al registro del sistema Gabilitada Gabilitada Gabilitada -6todo de retencin del registro de la a&licacin "egHn se necesite "egHn se necesite "egHn se necesite -6todo de retencin del registro de seguridad "egHn se necesite "egHn se necesite "egHn se necesite -6todo de retencin del registro del sistema "egHn se necesite "egHn se necesite "egHn se necesite
Tama/o m)0imo del registro de la aplicacin (sta configuracin de directiva es&ecifica el tamaCo m9;imo del registro de eventos de a&licacin: +ue tiene una ca&acidad m9;ima de @ )F4 "in embargo: no se recomienda este tamaCo a causa del riesgo de fragmentacin de memoria: +ue &rovoca una &6rdida de rendimiento 7 errores en el registro de eventos4 8os re+uisitos de tamaCo del registro de a&licacin varan en funcin de la &lataforma 7 la necesidad de dis&oner de registros $istricos de eventos relacionados con a&licaciones4 .amaGo mximo del registro de la aplicaci+n se configura en el valor &redeterminado 1;.6>4 L& en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Tama/o m)0imo del registro de seguridad (sta configuracin de directiva es&ecifica el tamaCo m9;imo del registro de eventos de seguridad: +ue tiene una ca&acidad m9;ima de @ )F4 Debe configurar el registro de seguridad con un mnimo de A0 -F en los controladores de dominio 7 servidores inde&endientes: ca&acidad +ue debera ser suficiente &ara almacenar la informacin Page 79 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx &ara realizar auditoras4 (l modo de establecer esta configuracin de directiva &ara otros e+ui&os de&ender9 de factores como la frecuencia con +ue se revisar9 el registro: el es&acio dis&onible en el disco: etc4 .amaGo mximo del registro de seguridad se configura como >1.?!@ L& en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Tama/o m)0imo del registro del sistema (sta configuracin de directiva es&ecifica el tamaCo m9;imo del registro de eventos del sistema: +ue tiene una ca&acidad m9;ima de @ )F4 "in embargo: no se recomienda este tamaCo a causa del riesgo de fragmentacin de memoria: +ue &rovoca una &6rdida de rendimiento 7 errores en el registro de eventos4 8os re+uisitos de tamaCo del registro de sistema varan en funcin de la &lataforma 7 la necesidad de dis&oner de registros $istricos4 .amaGo mximo del registro del sistema se configura en el valor &redeterminado 1;.6>4 L& en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 1vitar que el grupo de invitados locales tenga acceso al registro de aplicaciones (sta configuracin de directiva determina si a los invitados se les deniega el acceso al registro de eventos de a&licacin4 De forma &redeterminada: en indo!s "erver 200# con "01 los invitados tienen &ro$ibido el acceso a todos los e+ui&os4 0or lo tanto: esta configuracin de directiva no tiene efecto real en e+ui&os con configuraciones &redeterminadas4 "in embargo: como esta configuracin se considera una medida de defensa e;$austiva +ue no tiene efectos secundarios: E%itar *ue el grupo de in%itados locales tenga acceso al registro de aplicaciones se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: esta configuracin no a&arece en el ob,eto Directiva de e+ui&o local4 1vitar que el grupo de invitados locales tenga acceso al registro de seguridad (sta configuracin de directiva determina si a los invitados se les deniega el acceso al registro de eventos de seguridad4 Kn usuario debe tener asignado el derec$o de usuario 5dministrar registros de auditor/a de seguridad 2no se define en esta gua3 &ara obtener acceso al registro de seguridad4 0or lo tanto: esta configuracin de directiva no tiene efecto real en e+ui&os con configuraciones &redeterminadas4 "in embargo: como esta configuracin se considera una medida de defensa e;$austiva +ue no tiene efectos secundarios: E%itar *ue el grupo de in%itados locales tenga acceso al registro de seguridad se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 Page 80 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0ota: esta configuracin no a&arece en el ob,eto Directiva de e+ui&o local4 1vitar que el grupo de invitados locales tenga acceso al registro del sistema (sta configuracin de directiva determina si a los invitados se les deniega el acceso al registro de eventos del sistema4 De forma &redeterminada: en indo!s "erver 200# con "01 los invitados tienen &ro$ibido el acceso a todos los e+ui&os4 0or lo tanto: esta configuracin de directiva no tiene efecto real en e+ui&os con configuraciones &redeterminadas4 "in embargo: como esta configuracin se considera una medida de defensa e;$austiva +ue no tiene efectos secundarios: E%itar *ue el grupo de in%itados locales tenga acceso al registro del sistema se configura como 8a$ilitado en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0ota: esta configuracin no a&arece en el ob,eto Directiva de e+ui&o local4 +todo de retencin del registro de la aplicacin (sta configuracin de directiva determina el m6todo de Ja,usteJ del registro de a&licacin4 (s de gran im&ortancia +ue el registro de a&licacin se arc$ive regularmente si se necesita dis&oner de eventos $istricos con fines de argumentacin 7 solucin de &roblemas4 "i se sobrescriben los eventos segHn se necesiten: el registro siem&re almacenar9 los eventos m9s recientes: aun+ue esta configuracin &ueda tener como resultado una &6rdida de datos $istricos4 #Btodo de retenci+n del registro de la aplicaci+n se configura como SegEn se necesite en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 +todo de retencin del registro de seguridad (sta configuracin de directiva determina el m6todo de Ja,usteJ del registro de seguridad4 (s de gran im&ortancia +ue el registro de seguridad se arc$ive regularmente si se necesita dis&oner de eventos $istricos con fines de argumentacin 7 solucin de &roblemas4 "i se sobrescriben los eventos segHn se necesiten: el registro siem&re almacenar9 los eventos m9s recientes: aun+ue esta configuracin &ueda tener como resultado una &6rdida de datos $istricos4 #Btodo de retenci+n del registro de seguridad se configura como SegEn se necesite en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 +todo de retencin del registro del sistema (sta configuracin de directiva determina el m6todo de Ja,usteJ del registro del sistema4 (s de gran im&ortancia +ue los registros se arc$iven regularmente si se necesita dis&oner de eventos $istricos con fines de argumentacin 7 solucin de Page 81 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx &roblemas4 "i se sobrescriben los eventos segHn se necesiten: el registro siem&re almacenar9 los eventos m9s recientes: aun+ue esta configuracin &ueda tener como resultado una &6rdida de datos $istricos4 #Btodo de retenci+n del registro del sistema se configura como SegEn se necesite en la directiva de lnea de base &ara los tres entornos definidos en esta gua4 0rinci&io de la &9gina %ntradas de registro adicionales "e $an creado entradas del 'egistro 2tambi6n conocidas como valores del egistro3 adicionales &ara los arc$ivos de &lantilla de seguridad de lnea de base +ue no se definen en el arc$ivo de la &lantilla administrativa 24adm3 &redeterminada &ara los tres entornos de seguridad definidos en esta gua4 (n los arc$ivos 4adm se definen las directivas 7 restricciones del escritorio: del s$ell 7 de la seguridad &ara indo!s "erver 200#4 (stas entradas del 'egistro se inclu7en en las &lantillas de seguridad 2en la seccin J%&ciones de seguridadJ3 &ara automatizar las modificaciones4 "i se +uita la directiva: no se +uitar9n autom9ticamente estas entradas del 'egistroD 6stas se deben modificar manualmente mediante una $erramienta de edicin del 'egistro como 'egedt#24e;e4 "e a&lican las mismas entradas del 'egistro a los tres entornos4 (n esta gua se inclu7en entradas del 'egistro adicionales +ue se agregan al (ditor de configuracin de seguridad 2"*(34 0ara agregar estas entradas del 'egistro: es necesario modificar el arc$ivo "ceregvl4Inf 2dis&onible en la car&eta M3indirM1in'3 7 volver a registrar el arc$ivo "cecli4dll4 8as entradas de seguridad originales: as como las adicionales: se encuentran en 4irecti%as locales1Seguridad en los com&lementos 7 las $erramientas +ue se $an indicado &reviamente en este ca&tulo4 (s necesario actualizar el arc$ivo "ceregvl4inf 7 registrar el arc$ivo"cecli4dll de nuevo en los e+ui&os en los +ue se va7an a editar las &lantillas de seguridad 7 las directivas de gru&o +ue se facilitan con esta gua4 Ga7 dis&onible m9s informacin acerca de cmo actualizar estos arc$ivos en la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP 1 : +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515> 1 4 (sta seccin slo constitu7e un resumen de las entradas adicionales del 'egistro +ue se describen m9s detalladamente en la gua com&lementaria4 0ara obtener m9s informacin acerca de la configuracin &redeterminada 7 una e;&licacin detallada de las configuraciones descritas en esta seccin: consulte la gua com&lementaria Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP4 onsideracin de seguridad sobre los ataques en red 8os ata+ues &or denegacin de servicio 2Do"3 son ata+ues de red +ue intentan $acer +ue un e+ui&o o servicio determinado de un e+ui&o no se encuentre dis&onible &ara Page 82 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx los usuarios de la red4 8os ata+ues de denegacin de servicio 2Do"3 son difciles de combatir4 0ara &revenirlos: sera recomendable mantener el e+ui&o actualizado con las Hltimas correcciones de seguridad 7 reforzar la seguridad de la &ila del &rotocolo 5*0/I0 en a+uellos e+ui&os en los +ue se e,ecute indo!s "erver 200# con "01 7 +ue est6n e;&uestos a &osibles atacantes4 8a configuracin &redeterminada de la &ila 5*0/I0 se o&timiza &ara el control del tr9fico de la intranet est9ndar4 (n el caso de +ue se conecte un e+ui&o directamente a Internet: -icrosoft recomienda la consolidacin de la &ila 5*0/I0 frente a los ata+ues &or servicio denegado 2Do"34 0uede agregar los valores del 'egistro de la siguiente tabla al arc$ivo de &lantilla en la subclave 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1.cpip1(arame ters1 subclave4 .a$la 4.!> <ecomendaciones so$re las entradas del <egistro de .C(I7( Entrada del <egistro Formato Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada (nableI*-0'edirect D%'D 0 0 0 "7nAttac10rotect D%'D 1 1 1 (nableDead)Detect D%'D 0 0 0 Mee&Alive5ime D%'D #004000 #004000 #004000 DisableI0"ource'outing D%'D 2 2 2 5c&-a;*onnect'es&onse'etransmissions D%'D 2 2 2 5c&-a;Data'etransmissions D%'D # # # 0erform'outerDiscover7 D%'D 0 0 0 Page 83 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx
Otras entradas del Registro 8a siguiente tabla inclu7e otras entradas del 'egistro recomendadas +ue no son es&ecficas de 5*0/I04 8a informacin adicional sobre cada entrada se &ro&orciona en las subsecciones +ue se inclu7en des&u6s de la tabla4 .a$la 4.!? <ecomendaciones so$re otras entradas del <egistro Entrada del <egistro Formato Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada -"": 2?o?ame'elease%nDemand3 Allo! t$e com&uter to ignore ?etFI%" name release re+uests e;ce&t from I?" servers D%'D 1 1 1 -"": 2?tfsDisableAdot#?ame*reation3 (nable t$e com&uter to sto& generating A4# st7le filenames 2recommended3 D%'D 0 0 1 -"": 2?oDrive57&eAuto'un3 Disable Autorun for all drives 2recommended3 D%'D 0;EE 0;EE 0;EE -"": 2"creen"aver)race0eriod3 5$e time in seconds before t$e screen saver grace &eriod e;&ires 20 recommended3 *adena 0 0 0 -"": 2arning8evel3 0ercentage t$res$old for t$e securit7 event log at !$ic$ t$e s7stem !ill generate a !arning D%'D >0 >0 >0 Page 84 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx -"": 2"afeDll"earc$-ode3 (nable "afe D88 searc$ mode 2recommended3 D%'D 1 1 1 -"": 2Auto'eboot3 Allo! indo!s to automaticall7 restart after a s7stem cras$ 2recommended e;ce&t for $ig$l7 secure environments3 D%'D 1 1 0 -"": 2AutoAdmin8ogon3 (nable Automatic 8ogon 2not recommended3 D%'D 0 0 0 -"": 2Auto"$are1s3 (nable Administrative "$ares 2recommended e;ce&t for $ig$l7 secure environments3 D%'D 1 1 0 -"": 2Disable"ave0ass!ord3 0revent t$e dialIu& &ass!ord from being saved 2recommended3 D%'D 1 1 1 -"": 2?oDefault(;em&t3 (nable ?oDefault(;em&t for I0"ec Eiltering 2recommended3 D%'D # # #
Con'igure 0et&7-S 0ame <elease Securit: 5llo3 the computer to ignore 0et&7-S name release re*uests except 'rom 270S ser%ers (sta entrada a&arece como #SS: (0o0ame<elease-n4emand) 5llo3 the computer to ignore 0et&7-S name release re*uests except 'rom 270S ser%ers en "*(4 ?etFI%" sobre 5*0/I0 es un &rotocolo de red +ue: entre otras cosas: &ro&orciona una forma de resolver f9cilmente los nombres ?etFI%" registrados en e+ui&os basados en indo!s en las direcciones I0 configuradas en los mismos4 (ste valor determina si el e+ui&o libera su nombre ?etFI%" al recibir una solicitud de liberacin de nombre4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices10et$t1(arame ters1 Page 85 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx subclave4 4isa$le 5uto Aeneration o' >.6 File 0ames: Ena$le the computer to stop generating >.6 stle 'ilenames (sta entrada a&arece como #SS: (0t's4isa$le>dot60ameCreation) Ena$le the computer to stop generating >.6 stle 'ilenames (recommended) en "*(4 indo!s "erver 200# con "01 es com&atible con los formatos de nombre de arc$ivo A4# &ara la com&atibilidad con a&licaciones de 1L bits anteriores4 8a convencin del nombre de arc$ivo A4# es un formato de nombre +ue slo &ermite nombres de arc$ivo con una longitud m9;ima de oc$o caracteres4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Control1FileSstem1 subclave4 4isa$le 5utorun: 4isa$le 5utorun 'or all dri%es (sta entrada del 'egistro a&arece como #SS: (0o4ri%e.pe5uto<un) 4isa$le 5utorun 'or all dri%es (recommended) en "*(4 8a e,ecucin autom9tica em&ieza a leer la informacin de una unidad del e+ui&o tan &ronto como se insertan los medios4 *omo resultado: elementos como el arc$ivo de instalacin 2en el caso de &rogramas3 o el sonido 2en el caso de contenido de audio3 se inician inmediatamente4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1S-F.25<E1#icroso't12indo3s1CurrentDersion1(o licies1Explorer1 subclave4 #aCe Screensa%er (ass3ord (rotection 7mmediate: .he time in seconds $e'ore the screen sa%er grace period expires (@ recommended) (sta entrada a&arece como #SS: (ScreenSa%erArace(eriod) .he time in seconds $e'ore the screen sa%er grace period expires (@ recommended) en "*(4 indo!s inclu7e un &erodo de gracia +ue abarca desde +ue se inicia el &rotector de &antalla $asta el momento en el +ue se blo+uea la consola de forma autom9tica 7 se $abilita el blo+ueo del &rotector de &antalla4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la Page 86 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8LENOL-C5LO#5C870E1So't3are1#icroso't12indo3s 0.1CurrentDersion1 2inlogon1 subclave4 Securit Log 0ear Capacit 2arning: (ercentage threshold 'or the securit e%ent log at 3hich the sstem 3ill generate a 3arning (sta entrada a&arece como #SS: (2arningLe%el) (ercentage threshold 'or the securit e%ent log at 3hich the sstem 3ill generate a 3arning en "*(4 (sta o&cin est9 dis&onible con el "0# de indo!s 20004 )enera una auditora de seguridad en el registro de seguridad cuando el tamaCo del mismo alcanza un umbral definido &or el usuario4 0or e,em&lo: si se configura el valor de esta entrada del 'egistro en >0 7 el registro de seguridad alcanza un >0W de ca&acidad: el registro mostrar9 la siguiente entrada con el Id4 de evento 52#: J5$e securit7 event log is >0 &ercent full4J 0ota: si la configuracin del registro se establece &ara So$rescri$ir e%entos cuando sea necesario o So$rescri$ir e%entos *ue tengan ms de x d/as: no se generar9 este evento4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla de seguridad en la 8LENOL-C5LO#5C870E1 SNS.E#1CurrentControlSet1Ser%ices1E%entlog1Securit1 subclave4 Ena$le Sa'e 4LL Search -rder: Ena$le Sa'e 4LL search mode (recommended) (sta entrada a&arece como #SS: (Sa'e4llSearch#ode) Ena$le Sa'e 4LL search mode (recommended) en "*(4 (l orden de bHs+ueda de D88 se &uede configurar &ara +ue los arc$ivos D88 solicitados &or los &rocesos en e,ecucin se bus+uen de una de estas dos formas: Fuscar &rimero en las car&etas es&ecificadas en la ruta de acceso del sistema 7: a continuacin: buscar en la car&eta de traba,o actual4 Fuscar &rimero en la car&eta de traba,o actual 7: a continuacin: buscar en las car&etas es&ecificadas en la ruta de acceso del sistema4 (l valor del 'egistro se configura como 1: lo +ue $ace +ue el e+ui&o bus+ue &rimero en las car&etas es&ecificadas en la ruta de acceso del sistema 7: a continuacin: en la car&eta de traba,o actual4 "i esta entrada se configura como 0: el sistema busca &rimero en la car&eta de traba,o actual 7: a continuacin: en las car&etas es&ecificadas en la ruta de acceso del sistema4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la Page 87 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8LENOL-C5LO#5C870E1 SNS.E#1CurrentControlSet1Control1Session #anager1 subclave4 5utomatic <e$oot: 5llo3 2indo3s to automaticall restart a'ter a sstem crash (sta entrada a&arece como #SS: (5uto<e$oot) 5llo3 2indo3s to automaticall restart a'ter a sstem crash (recommended except 'or highl secure en%ironments) en "*(4 *uando esta entrada est9 $abilitada: un servidor &uede reiniciarse autom9ticamente tras un blo+ueo grave4 (st9 $abilitada de forma &redeterminada: lo +ue no es recomendable &ara los servidores altamente seguros4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Control1CrashControl1 subclave4 5utomatic Logon: Ena$le 5utomatic Logon (sta entrada a&arece como #SS: (5uto5dminLogon) Ena$le 5utomatic Logon (not recommended) en "*(4 (sta entrada no est9 $abilitada de forma &redeterminada 7 no debe usarse nunca en un servidor: &r9cticamente en ninguna circunstancia imaginable4 0ara obtener m9s informacin: consulte el artculo de -icrosoft Mno!ledge Fase JGabilitar el inicio de sesin autom9tico en indo!s B L J en $tt&://su&&ort4microsoft4com/<1bid=#152#1 L 4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1So't3are1#icroso't12indo3s 0.1CurrentDersion1 2inlogon1 subclave4 5dministrati%e Shares: Ena$le 5dministrati%e Shares (sta entrada a&arece como #SS: (5utoShare2Cs) Ena$le 5dministrati%e Shares (recommended except 'or highl secure en%ironments) en "*(4 De forma &redeterminada: cuando las funciones de red de indo!s est9n activadas en un servidor: indo!s crea recursos com&artidos administrativos ocultos: lo +ue no es recomendable en servidores altamente seguros4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la Page 88 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1<as#an1(ara meters1 subclave4 4isa$le Sa%ed (ass3ords: (re%ent the dial"up pass3ord 'rom $eing sa%ed (sta entrada a&arece como #SS: (4isa$leSa%e(ass3ord) (re%ent the dial"up pass3ord 'rom $eing sa%ed (recommended) en "*(4 De forma &redeterminada: indo!s ofrecer9 la o&cin de guardar las contraseCas &ara las cone;iones de acceso telefnico 7 R0?: lo +ue no es recomendable en un servidor4 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices1LanmanSer%er 1 (arameters1 subclave4 Ena$le 7(Sec to protect Ler$eros <SD( .ra''ic: Ena$le 0o4e'aultExempt 'or 7(Sec Filtering (sta entrada a&arece como #SS: (0o4e'aultExempt) Ena$le 0o4e'aultExempt 'or 7(Sec Filtering (recommended) en "*(4 (n la a7uda en &antalla de -icrosoft indo!s "erver 200# se detallan las e;enciones &redeterminadas a los filtros de la directiva I0"ec4 (stos filtros &ermiten el funcionamiento de Intercambio de claves de Internet 2IM(3 7 del &rotocolo de autenticacin Merberos4 8os filtros tambi6n &ermiten +ue se seCale 2'"R03 la calidad de servicio 2To"3 de la red cuando el tr9fico de datos est9 &rotegido mediante I0"ec: as como el tr9fico +ue I0"ec no &uede &roteger 2como el tr9fico de multidifusin o difusin34 0uede agregar este valor del 'egistro al arc$ivo de &lantilla en la 8LENOL-C5LO#5C870E1Sstem1CurrentControlSet1Ser%ices17(SEC1 subclave4 0rinci&io de la &9gina &rupos restringidos 8a funcin )ru&os restringidos &ermite administrar la &ertenencia a gru&os a trav6s de mecanismos de directiva: as como im&edir la e;&lotacin deliberada o inadvertida de los gru&os +ue tienen derec$os de usuario &otentes4 Analice en &rimer lugar las necesidades de su organizacin &ara determinar los gru&os +ue desea restringir4 8os gru&os -peradores de copia de seguridad 7 ,suarios a%anzados se $an restringido en los tres entornos definidos en esta gua4 Aun+ue los miembros de los gru&os -peradores de copia de seguridad 7 ,suarios a%anzados tengan menos Page 89 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx derec$os de acceso +ue los miembros del gru&o 5dministradores: siguen contando con eficaces ca&acidades4 0ota : si su organizacin utiliza cual+uiera de estos gru&os: controle con cuidado su asociacin 7 no im&lemente la gua &ara la configuracin de )ru&os restringidos4 "i su organizacin agrega usuarios al gru&o Ksuarios avanzados: es &robable +ue desee im&lementar los &ermisos o&cionales del sistema de arc$ivos +ue se describen en la siguiente seccin: X"eguridad del sistema de arc$ivosY4 0uede establecer la configuracin de )ru&os restringidos en indo!s "erver 200# con "01 en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad1Arupos restringidos 8os administradores &ueden configurar gru&os restringidos si agregan el gru&o +ue desean directamente a la directiva -"F04 *uando un gru&o est9 restringido: se &ueden definir sus miembros as como otros gru&os a los +ue &ertenezca4 "i no se es&ecifican estos miembros de gru&o: el gru&o estar9 totalmente restringido4 0rinci&io de la &9gina Seguridad del sistema de arc"ivos (l sistema de arc$ivos ?5E" se $a me,orado con cada nueva versin de -icrosoft indo!s 7 los &ermisos &redeterminados &ara ?5E" son adecuados &ara la ma7ora de las organizaciones4 8as configuraciones tratadas en esta seccin se &ro&orcionan como o&ciones de uso o&cional &ara las organizaciones +ue no utilizan gru&os restringidos &ero +ue desean tener un nivel adicional de seguridad en los servidores4 0uede establecer la configuracin de seguridad del sistema de arc$ivos en la siguiente ubicacin del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad1Sistema de archi%os 0ota: es necesario &robar e;$austivamente todos los cambios realizados en la configuracin de seguridad &redeterminada del sistema de arc$ivos en un entorno de laboratorio antes de im&lementarlos en una organizacin de gran tamaCo4 "e $an dado casos en +ue los &ermisos de arc$ivos se $an modificado $asta tal &unto +ue los e+ui&os afectados &or ello se $an tenido +ue reconstruir com&letamente4 8os &ermisos &redeterminados de arc$ivos en indo!s "erver 200# con "01 son suficientes &ara la ma7ora de las situaciones4 "in embargo: si no &rev6 blo+uear los miembros +ue forman &arte del gru&o ,suarios a%anzados con la caracterstica )ru&os restringidos o si &lanea $abilitar la configuracin 5cceso de red: de:a *ue los permisos de .odos se apli*uen a los usuarios an+nimos: es &osible +ue desee a&licar los &ermisos o&cionales +ue se describen a continuacin4 "on mu7 es&ecficos 7 a&lican restricciones adicionales a determinadas $erramientas Page 90 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx e,ecutables +ue un usuario malintencionado con &rivilegios elevados &odra usar &ara com&rometer el e+ui&o o la red4 %bserve cmo estos cambios no afectan a varias car&etas ni a la raz del volumen del sistema4 0uede resultar mu7 arriesgado cambiar los &ermisos de esa manera: adem9s de +ue a menudo conlleva la inestabilidad del e+ui&o4 5odos los arc$ivos siguientes se encuentran en la car&eta MSstem<ootM1Sstem6!1 7 a todos ellos se les $an concedido los siguientes &ermisos: 5dministradores: Control total) Sistema: Control total4 regedit4e;e ar&4e;e at4e;e attrib4e;e cacls4e;e debug4e;e edlin4e;e eventcreate4e;e eventtriggers4e;e ft&4e;e nbtstat4e;e net4e;e net14e;e nets$4e;e netstat4e;e nsloo1u&4e;e ntbac1u&4e;e rc&4e;e reg4e;e regedt#24e;e regini4e;e Page 91 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx regsvr#24e;e re;ec4e;e route4e;e rs$4e;e sc4e;e secedit4e;e subst4e;e s7steminfo4e;e telnet4e;e tft&4e;e tlntsvr4e;e 0ara su comodidad: estos &ermisos o&cionales 7a est9n configurados en la &lantilla de seguridad denominada -ptional"File"(ermissions.in': +ue se inclu7e con la versin descargable de esta gua4 0rinci&io de la &9gina Configuracin de seguridad adicional Aun+ue la ma7ora de las contramedidas utilizadas en esta gua &ara reforzar la seguridad de los servidores de lnea de base se $an a&licado mediante la directiva de gru&o: e;isten configuraciones adicionales +ue son bastante difciles o casi im&osibles de a&licar con la directiva de gru&o4 0ara obtener una e;&licacin detallada de las contramedidas descritas en esta seccin: consulte la gua com&lementaria: Amenazas y contramedidas: configuracin de seguridad en Windows Server 2003 y Windows XP 1 : +ue est9 dis&onible en $tt&://go4microsoft4com/f!lin1/<8in1Id=1515> 1 4 Procedimientos de consolidacin manual (n esta seccin se describe cmo se im&lementaron manualmente algunas contramedidas adicionales 2como la seguridad de las cuentas3 &ara los distintos entornos de seguridad definidos en esta gua4 5dici+n manual de grupos de seguridad Enicos a las asignaciones de derechos de usuario 8a ma7ora de los gru&os de seguridad recomendados &ara las asignaciones de derec$os de usuario se configuraron en las &lantillas de seguridad +ue acom&aCan a esta gua4 ?o obstante: e;isten algunos derec$os +ue no se &ueden incluir en las &lantillas de seguridad: &or+ue los identificadores de seguridad 2"ID3 de Page 92 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx determinados gru&os de seguridad son Hnicos entre los distintos dominios de indo!s "erver 200#4 (l &roblema radica en +ue el 'ID 2identificador relativo3: +ue forma &arte del "ID 2identificador de seguridad3: es Hnico4 (stos derec$os se inclu7en en la tabla siguiente4 5d%ertencia: en la siguiente tabla se inclu7en valores &ara el administrador integrado4 (l administrador integrado es la cuenta de usuario integrada 7 no el gru&o de seguridad 5dministradores4 "i se agrega el gru&o de seguridad 5dministradores a cual+uiera de los derec$os de usuario de denegacin de acceso siguientes: deber9 iniciar sesin localmente &ara corregir el error4 Adem9s: la cuenta de administrador integrada &uede tener un nombre nuevo si $a seguido la recomendacin anteriormente indicada en esta gua de cambiarle el nombre4 Al agregar esta cuenta a cual+uier derec$o de usuario de denegacin de acceso: asegHrese de seleccionar la cuenta de administrador a la +ue $a cambiado el nombre4 .a$la 4.6@ 5signaciones de derechos de usuario agregadas manualmente 0om$re del parmetro en 7, Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada Denegar el acceso desde la red a este e+ui&o Administrador integradoD "u&&ortO#AA>@5a0D InvitadoD todas las cuentas de servicios +ue ?% sean del sistema o&erativo Administrador integradoD "u&&ortO#AA>@5a0D InvitadoD todas las cuentas de servicios +ue ?% sean del sistema o&erativo Administrador integradoD "u&&ortO#AA>@5a0D InvitadoD todas las cuentas de servicios +ue ?% sean del sistema o&erativo Denegar el inicio de sesin como traba,o &or lotes "u&&ortO#AA>@5a0 e Invitado "u&&ortO#AA>@5a0 e Invitado "u&&ortO#AA>@5a0 e Invitado Denegar inicio de sesin a trav6s de "ervicios de Administrador integradoD InvitadosD "u&&ortO#AA>@5a0D Invitado 7 todas las cuentas de servicio +ue Administrador integradoD InvitadosD "u&&ortO#AA>@5a0D Invitado 7 todas las cuentas de servicio +ue Administrador integradoD InvitadosD "u&&ortO#AA>@5a0D Invitado 7 todas las cuentas de servicio +ue Page 93 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5erminal "erver ?% sean del sistema o&erativo4 ?% sean del sistema o&erativo4 ?% sean del sistema o&erativo4
7mportante: todas las cuentas de servicio +ue ?% sean del sistema o&erativo son cuentas de servicio de a&licaciones es&ecficas de la em&resa4 (stas cuentas no inclu7en las cuentas "I"5(-A 8%*A8: "('RI*I% 8%*A8 o "('RI*I% D( '(D +ue son cuentas integradas del sistema o&erativo4 0ara agregar manualmente los gru&os de seguridad indicados a la directiva de lnea de base de servidores miembros &ara el entorno *liente de em&resa: siga los &asos siguientes4 (ara agregar grupos de seguridad a las asignaciones de derechos de usuario (n Ksuarios 7 e+ui&os de Active Director7: $aga clic con el botn secundario en la K% "ervidores miembro 7: a continuacin: seleccione (ropiedades4 14 (n la fic$a 4irecti%a de grupo: seleccione Enterprise Client #em$er Ser%er &aseline (olic 2directiva de lnea de base de servidores miembros de *liente de em&resa3 &ara editar el )0% vinculado4 24 "eleccione Enterprise Client P #em$er Ser%er &aseline (olic 7: a continuacin: $aga clic en Editar4 #4 (n la ventana 4irecti%a de grupo: $aga clic en Con'iguraci+n del e*uipo1Con'iguraci+n de 2indo3s1Con'iguraci+n de seguridad14irecti%as locales15signaci+n de derechos de usuario &ara agregar los gru&os de seguridad Hnicos de la tabla anterior &ara cada derec$o4 @4 *ierre la directiva de gru&o +ue $a modificado4 54 *ierre la ventana (ropiedades de la K% "ervidores miembro4 L4 Euerce la re&licacin entre los controladores de dominio &ara +ue la directiva se a&li+ue a todosD &ara ello: &roceda del siguiente modo: 74 Abra una ventana del smbolo del sistema: escriba gpupdate IForce 7 &resione (?5'A' &ara forzar al servidor a actualizar la directiva4 a4 'einicie el servidor4 b4 *om&ruebe en el registro de eventos +ue la directiva de gru&o se $a descargado correctamente 7 +ue el servidor &uede comunicarse con los otros controladores de dominio en el dominio4 A4 Page 94 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Seguridad de las cuentas conocidas indo!s "erver 200# con "0 1 dis&one de una serie de cuentas de usuario integradas +ue no se &ueden eliminar: &ero a las +ue s se les &uede cambiar el nombre4 Dos de las cuentas integradas m9s conocidas en indo!s "erver 200# son Invitado 7 Administrador4 De forma &redeterminada: se des$abilita la cuenta Invitado en los servidores miembro 7 controladores de dominio4 (sta configuracin no se debe modificar4 -uc$as variaciones de cdigo malintencionado utilizan esta cuenta integrada Administrador como &rimer intento de acceso al servidor4 0or tanto: se cambia el nombre de la cuenta de administrador integrada 7 se modifica su descri&cin &ara im&edir +ue los atacantes +ue intenten usar esta cuenta conocida com&rometan un servidor remoto4 (l valor de este cambio de configuracin se $a reducido en los Hltimos aCos debido a la e;istencia de $erramientas de ata+ue +ue intentan obtener acceso al servidor mediante la es&ecificacin del identificador de seguridad 2"ID3 de la cuenta de administrador integrada &ara averiguar su nombre real4 Kn "ID es el identificador Hnico de cada usuario: gru&o: cuenta de e+ui&o e inicio de sesin de una red4 ?o se &uede modificar en el caso de esta cuenta integrada4 "in embargo: sus gru&os o&erativos &ueden controlar f9cilmente los intentos de ata+ues contra esta cuenta de administrador si cambia su nombre &or uno Hnico4 'ealice los &asos siguientes &ara &roteger las cuentas conocidas en los servidores 7 dominios: *ambie el nombre de las cuentas de Administrador e Invitado 7 modifi+ue sus contraseCas utilizando un valor largo 7 com&le,o en cada dominio 7 servidor4 Ktilice nombres 7 contraseCas distintas en cada servidor4 "i se utilizan los mismos nombres de cuenta 7 las mismas contraseCas en todos los dominios 7 servidores: un atacante +ue obtuviera acceso a un servidor miembro &odra tener acceso a los dem9s con el mismo nombre de cuenta 7 contraseCa4 *ambie las descri&ciones &redeterminadas de las cuentas &ara evitar su f9cil identificacin4 'egistre cual+uier cambio +ue $aga en una ubicacin segura4 0ota: se &uede cambiar el nombre de la cuenta integrada Administrador desde Directiva de gru&o4 (sta configuracin no se im&lement en la directiva de lnea de base &or+ue cada organizacin debe elegir un nombre Hnico &ara esta cuenta4 "in embargo: &uede configurar el &ar9metro Cuentas: cam$iar el nom$re de la cuenta del administrador &ara cambiar el nombre de las cuentas de administrador en los tres entornos +ue se definen en esta gua4 (sta configuracin de directiva forma &arte de la configuracin %&ciones de seguridad de un )0%4 Page 95 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Seguridad de las cuentas de ser%icios A menos +ue sea absolutamente necesario: nunca configure un servicio &ara +ue se e,ecute en el conte;to de seguridad de una cuenta de dominio4 "i el servidor se encuentra fsicamente afectado: las contraseCas de la cuenta de dominio &odran obtenerse f9cilmente mediante el volcado de secretos de la Autoridad de seguridad local 28"A34 0ara obtener m9s informacin acerca de cmo asegurar las cuentas de servicio: consulte la )ua de &laneamiento de la seguridad de servicios 7 cuentas de servicios 7 en !!!4microsoft4com/tec$net/securit7/to&ics/serversecurit7/serviceaccount/default4ms &; 7 2en ingl6s34 0.FS 8as &articiones ?5E" admiten las A*8 en los niveles de arc$ivo 7 car&eta4 (sta com&atibilidad no se encuentra dis&onible con la tabla de asignacin de arc$ivos 2EA53 o los sistemas de arc$ivos EA5#24 EA5#2 es una versin actualizada del sistema de arc$ivos EA5 +ue &ermite tamaCos &redeterminados de clHster significativamente m9s &e+ueCos 7 admite discos duros con un tamaCo m9;imo de dos terab7tes4 EA5#2 se inclu7e en indo!s >5 %"'2: indo!s >A: -icrosoft indo!s -e: indo!s 2000: indo!s B0 0rofessional 7 indo!s "erver 200#4 Eormatee todas las &articiones en cada servidor con ?5E"4 (m&lee la utilidad de conversin &ara convertir con cuidado &articiones EA5 a ?5E": &ero no olvide +ue dic$a utilidad configurar9 las listas A*8 de la unidad convertida en .odos: Control total4 (n el caso de e+ui&os +ue e,ecuten indo!s 200# "erver con "01: a&li+ue localmente las dos &lantillas de seguridad siguientes &ara configurar las A*8 &redeterminadas de sistema de arc$ivos en los servidores miembro 7 los controladores de dominio: res&ectivamente: M3indirM1in'1de'lts%.in' M3indirM1in'1de'ltdc.in' 0ota: la configuracin de seguridad &redeterminada del controlador de dominio se a&lica durante la &romocin de un servidor a un controlador de dominio4 "e $a dado formato a todas las &articiones de los servidores de los tres entornos definidos en esta gua con &articiones ?5E": con el fin de ofrecer los medios necesarios &ara una administracin de seguridad de los arc$ivos 7 directorios mediante las A*84 Con'iguraciones de los Ser%icios de .erminal Ser%er 8a configuracin Esta$lecer ni%el de ci'rado de conexi+n de cliente determina el nivel de cifrado &ara las cone;iones de clientes de los "ervicios de 5erminal "erver en el entorno4 8a o&cin de configuracin 0i%el alto +ue utiliza cifrado de 12A bits Page 96 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx im&ide +ue los atacantes interce&ten las sesiones de los "ervicios de 5erminal "erver con un analizador de &a+uetes4 Algunas versiones m9s antiguas del cliente de "ervicios de 5erminal "erver no son com&atibles con este nivel de cifrado alto4 "i su red dis&one de dic$os clientes: configure el nivel de cifrado de la cone;in &ara +ue enve 7 reciba datos en el nivel de cifrado m9s alto &ermitido &or el cliente4 0uede establecer esta configuracin en la siguiente ubicacin de la directiva de gru&o: Con'iguraci+n del e*uipo1(lantillas administrati%as1Componentes de 2indo3s1 Ser%icios de .erminal Ser%er1Ci'rado seguridad. .a$la 4.61 <ecomendaci+n de con'iguraci+n del ni%el de ci'rado de las conexiones de cliente 0om$re del parmetro en 7, Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada (stablecer el nivel de cifrado de cone;in de cliente Alta Alta Alta
8os tres niveles dis&onibles de cifrado se describen en la tabla siguiente: .a$la 4.6! 0i%eles de ci'rado de Ser%icios de .erminal Ser%er 0i%el de ci'rado 4escripci+n ?ivel alto *ifra los datos +ue se envan desde el cliente al servidor 7 desde el servidor al cliente con cifrado de 12A bits4 Ktilice este nivel siem&re +ue 5erminal "erver se e,ecute en un entorno +ue slo inclu7a clientes de 12A bits: como los clientes de *one;in a (scritorio remoto4 8os clientes +ue no admitan este nivel de cifrado no se &odr9n conectar4 *liente com&atible *ifra los datos enviados entre el cliente 7 el servidor con la fuerza m9;ima de la clave admitida &or el cliente4 (m&lee este nivel cuando 5erminal "erver se e,ecute en un entorno con clientes mi;tos o $eredados4 Page 97 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx ?ivel ba,o *ifra los datos +ue se envan del cliente al servidor con cifrado de 5L bits4 7mportante: los datos enviados del servidor al cliente no est9n cifrados4
*n$orme de errores .a$la 4.66 Con'iguraci+n recomendada de los in'ormes de errores Con'iguraci+n Cliente heredado Cliente de empresa Seguridad especializada: Funcionalidad limitada Desactivar Informe de errores de indo!s Gabilitada Gabilitada Gabilitada
(ste servicio a7uda a -icrosoft a realizar un seguimiento de los errores as como a solucionarlos4 0uede configurar este servicio &ara generar informes &ara los errores del sistema o&erativo: com&onentes de indo!s o de &rograma4 "lo est9 dis&onible en indo!s B0 0rofessional 7 indo!s "erver 200#4 (l servicio 7n'orme de errores &uede informar de dic$os errores a -icrosoft a trav6s de Internet o a un recurso com&artido de arc$ivos internos4 Aun+ue los informes de error &uedan incluir datos cor&orativos de contenido delicado o incluso confidenciales: la directiva de &rivacidad de -icrosoft con res&ecto a la notificacin de errores asegura +ue -icrosoft no utilizar9 dic$os datos de forma incorrecta4 ?o obstante: los datos se transmiten en G550 de te;to sin formato 7 &odran ser interce&tados en Internet 7 visualizados &or terceros4 8a configuracin 4esacti%ar 7n'orme de errores de 2indo3s &ermite controlar si el servicio Informe de errores transmite algHn dato4 0uede configurar esta configuracin de directiva en indo!s "erver 200# en la ubicacin siguiente dentro del (ditor de ob,etos de directiva de gru&o: Con'iguraci+n del e*uipo1(lantillas administrati%as1Sistema15dministraci+n de comunicaciones de 7nternet1Con'iguraci+n de comunicaciones de 7nternet (stablezca el &ar9metro 4esacti%ar 7n'orme de errores de 2indo3s como 8a$ilitado en la D*F0 &ara los tres entornos +ue se definen en esta gua4 Page 98 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 8a$ilitaci+n de %olcados de memoria manuales indo!s "erver 200# con "01 inclu7e una caracterstica +ue sirve &ara detener el e+ui&o 7 generar un arc$ivo de volcado de memoria -emor74dm&4 (sta caracterstica se debe $abilitar de forma e;&lcita 7 &uede +ue no sea a&ro&iada &ara todos los servidores de la organizacin4 "i determina +ue sera valioso ca&turar volcados de memoria en algunos servidores: &uede seguir las instrucciones &ro&orcionadas en el artculo 8as caractersticas de indo!s &ermiten generar un arc$ivo -emor74dm& mediante el teclado A en $tt&://su&&ort4microsoft4com/default4as&;<1bid=2@@1#> A 4 7mportante: cuando la memoria se co&ia a un disco como se describe en dic$o artculo: la informacin confidencial &odra incluirse en el arc$ivo -emor74dm&4 8o ideal es +ue todos los servidores est6n &rotegidos del acceso fsico no autorizado4 "i genera un arc$ivo de volcado de memoria en un servidor +ue tiene riesgos de resultar com&rometido fsicamente: asegHrese de eliminar el arc$ivo de volcado antes de concluir la solucin de &roblemas4 reacin de la directiva de l'nea de base con S2 0ara im&lementar la configuracin de seguridad necesaria: &rimero debe crear una directiva de lnea de base de servidores miembro 2-"F034 0ara ello: debe utilizar el Asistente &ara configuracin de seguridad 2"*3 7 las &lantillas de seguridad +ue se inclu7en con la versin descargable de esta gua4 Al crear su &ro&ia directiva: asegHrese de omitir las secciones J*onfiguracin del 'egistroJ 7 XDirectiva de auditoraY4 8as &lantillas de seguridad &ro&orcionan esta configuracin &ara el entorno escogido4 (ste enfo+ue es necesario &ara asegurar +ue los elementos de la directiva &ro&orcionados &or las &lantillas tienen &rioridad sobre los configurados &or "*4 Debe utilizar una instalacin nueva del sistema o&erativo &ara em&ezar su traba,o de configuracin: lo +ue garantiza +ue no $a7a ninguna configuracin $eredada ni soft!are de configuraciones &revias4 "i es &osible: utilice $ard!are similar al $ard!are +ue se utiliza en su im&lementacin &ara garantizar la ma7or com&atibilidad &osible4 8a instalacin nueva se llama e!ui"o de referencia4 (s &robable +ue durante la creacin de la directiva -"F0 +uite la funcin de servidor de arc$ivos de la lista de funciones detectadas4 (sta funcin se configura comHnmente en servidores +ue no la re+uieren 7 se &odra considerar un riesgo de seguridad4 0ara $abilitar la funcin de servidor de arc$ivos &ara servidores +ue la re+uieren: &uede a&licar una segunda directiva m9s adelante en este &roceso4 (ara crear la directi%a de l/nea de $ase de ser%idores miem$ro (#S&() *ree una instalacin nueva de indo!s "erver 200# con "01 en un e+ui&o de referencia nuevo4 14 Page 99 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Instale el com&onente del Asistente &ara configuracin de seguridad en el e+ui&o mediante 0anel de control: Agregar o +uitar &rogramas: Agregar o +uitar com&onentes de indo!s4 24 Kna el e+ui&o al dominio4 #4 Instale 7 configure slo las a&licaciones obligatorias +ue estar9n en cada servidor en su entorno4 8os e,em&los inclu7en su soft!are 7 los agentes de administracin: agentes de co&ia de seguridad en cinta 7 las utilidades antivirus o contra soft!are es&a4 @4 Inicie la interfaz gr9fica de usuario de "*: seleccione Crear directi%a nue%a 7 va7a al e+ui&o de referencia4 54 (limine la funcin de servidor de arc$ivos de las funciones detectadas +ue se enumeran4 L4 *om&ruebe +ue las funciones de servidor detectadas son adecuadas &ara su entorno4 74 *om&ruebe +ue las caractersticas de cliente detectadas son adecuadas &ara su entorno4 A4 *om&ruebe +ue las o&ciones administrativas detectadas son adecuadas &ara su entorno4 >4 *om&ruebe +ue se $an detectado todos los servicios adicionales re+ueridos &or su lnea de base: como agentes de co&ia de seguridad o soft!are antivirus4 104 Decida cmo tratar los servicios no es&ecificados en su entorno4 0ara una ma7or seguridad: defina esta configuracin de directiva como 4esha$ilitada4 Debe &robar esta configuracin antes de im&lementarla en su red de &roduccin &or+ue &uede &rovocar &roblemas si los servidores de &roduccin e,ecutan servicios adicionales +ue no est9n du&licados en su e+ui&o de referencia4 114 *om&ruebe +ue la casilla de verificacin -mitir esta secci+n est9 activada en la seccin J"eguridad de redJ 7: a continuacin: $aga clic en Siguiente4 8os &uertos 7 las a&licaciones a&ro&iados identificados anteriormente se configuran como e;ce&ciones &ara el Eire!all de indo!s4 124 (n la seccin J*onfiguracin del 'egistroJ: $aga clic en la casilla de verificacin -mitir esta secci+n 7: a continuacin: $aga clic en Siguiente4 (sta configuracin de la directiva se im&orta desde el arc$ivo I?E suministrado4 1#4 (n la seccin JDirectiva de auditoraJ: $aga clic en la casilla de verificacin -mitir esta secci+n 7: a continuacin: $aga clic en Siguiente4 (sta configuracin de la directiva se im&orta desde el arc$ivo I?E suministrado4 1@4 Inclu7a la &lantilla de seguridad a&ro&iada 2&or e,em&lo: (*I-ember "erver Faseline4inf34 154 Page 100 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx )uarde la directiva con un nombre a&ro&iado 2&or e,em&lo: -ember "erver Faseline4;ml34 1L4 Prueba de la directiva utilizando S2 Des&u6s +ue crear 7 guardar la directiva: -icrosoft recomienda +ue la im&lemente a su entorno de &rueba4 8o ideal sera +ue los servidores de &rueba tuvieran la misma configuracin de $ard!are 7 soft!are +ue los servidores de &roduccin4 (ste &lanteamiento le &ermitir9 encontrar 7 solucionar &osibles &roblemas: como la &resencia de servicios im&revistos re+ueridos &or dis&ositivos de $ard!are es&ecficos4 Ga7 dos o&ciones dis&onibles &ara &robar la directiva4 0uede utilizar los servicios de im&lementacin nativos de "* o im&lementar las directivas mediante un )0%4 *uando em&iece a crear sus directivas: debe considerar la utilizacin de los servicios de im&lementacin nativos de "*4 0uede utilizar "* &ara instaurar una directiva a un solo servidor cada vez: o usar "c!cmd &ara instaurar la directiva en un gru&o de servidores4 (l m6todo nativo de im&lementacin ofrece la venta,a de &oder des$acer f9cilmente las directivas im&lementadas desde "*4 (sta ca&acidad &uede ser mu7 Htil cuando se $acen varios cambios a las directivas durante el &roceso de la &rueba4 8a directiva se &rueba &ara asegurar +ue la a&licacin de esta directiva a los servidores de destino no afectar9 sus funciones crticas4 Kna vez +ue $a7a a&licado los cambios de configuracin: deber9 comenzar a com&robar la funcionalidad &rinci&al del e+ui&o4 0or e,em&lo: si el servidor se $a configurado como una entidad emisora de certificados 2*A3: asegHrese de +ue los clientes &uedan solicitar 7 obtener certificados: descargar una lista de revocacin de certificados: etc4 *uando est6 satisfec$o con la configuracin de la directiva: &uede utilizar "c!cmd como se muestra en el &rocedimiento siguiente &ara convertir las directivas a )0%4 0ara obtener m9s informacin acerca de cmo &robar las directivas de "*: consulte la )ua de im&lementacin del Asistente &ara configuracin de seguridad > en !!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"*De&lo7ing/ 525@fAcdI1@#eI@55>Ia2>>I>c72#b#LL>@L4ms&; > 2en ingl6s3 7 la documentacin del Asistente &ara configuracin de seguridad 10 en $tt&://go4microsoft4com/f!lin1/< lin1id=@#@50 10 2en ingl6s34 onversin e implementacin de la directiva Des&u6s de &robar com&letamente la directiva: com&lete los &asos siguientes &ara convertirla en un )0% e im&lementarla: (n el smbolo de sistema: escriba el siguiente comando: 14 Page 101 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 7: a continuacin: &ulse (ntrar4 0or e,em&lo: 0ota: la informacin +ue se introducir9 en el smbolo del sistema se muestra a+u en m9s de una lnea a causa de las limitaciones de &antalla4 (sta informacin debe introducirse en una lnea4 Ktilice la *onsola de administracin de directivas de gru&o &ara vincular los nuevos )0% creados a la K% a&ro&iada4 24 %bserve +ue: si el arc$ivo de directiva de seguridad de "* contiene configuracin de Eire!all de indo!s: el Eire!all de indo!s debe estar activo en el e+ui&o local &ara +ue este &rocedimiento se &ueda com&letar correctamente4 0ara com&robar +ue el Eire!all de indo!s est9 activo: abra el 0anel de control 7 $aga doble clic en Fire3all de 2indo3s4 Deber9 realizar una Hltima &rueba &ara asegurarse de +ue el )0% a&lica la configuracin deseada4 0ara com&letar este &rocedimiento: confirme +ue se $a establecido la configuracin a&ro&iada 7 +ue los servicios no se ven afectados4 0rinci&io de la &9gina $esumen (n este ca&tulo se $an e;&licado los &rocedimientos &ara reforzar la seguridad de los servidores +ue se a&licaron inicialmente a todos los servidores +ue e,ecutaban indo!s "erver 200# con "01 en los tres entornos de seguridad definidos en esta gua4 Kna gran &arte de estos &rocedimientos consistieron en la creacin de una Hnica &lantilla de seguridad &ara cada uno de los entornos de seguridad 7 su &osterior im&ortacin a un ob,eto de directiva de gru&o 2)0%3 vinculado a la %K &rinci&al &ara +ue el servidor miembro obtuviese el nivel de seguridad ob,etivo4 ?o obstante: e;isten algunos &rocedimientos de consolidacin +ue no se &ueden a&licar mediante la directiva de gru&o4 "e $a &ro&orcionado adem9s orientacin acerca de cmo establecer esta configuracin manualmente4 "e $an ado&tado &asos adicionales en el caso de determinadas funciones de servidor con el fin de &ermitir su funcionamiento de la forma m9s segura &osible4 (ntre las medidas es&ecficas &ara las funciones de servidor se inclu7en &rocedimientos adicionales &ara reforzar la seguridad 7 &ara reducir la configuracin de seguridad en la directiva de seguridad de lnea de base4 (stas modificaciones se analizan en detalle en los ca&tulos siguientes de esta gua4 scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
Page 102 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx *n$ormacin adicional 8os siguientes vnculos &ro&orcionan informacin adicional acerca de los temas relacionados con la seguridad de los servidores +ue e,ecutan indo!s "erver 200# con "014 0ara obtener m9s informacin acerca de la configuracin de seguridad de indo!s "erver 200#: consulte la &9gina de descri&ciones sobre las configuraciones de seguridad 11 en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv erGel&/dd>A0ca#IfLALI@ffcIaL17I50cL2@0f55A24ms&; 11 2en ingl6s34 0ara obtener m9s informacin acerca de la seguridad en indo!s "erver 200#: visite el *entro de seguridad de indo!s "erver 200# 12 en $tt&://!!!4microsoft4com/tec$net/securit7/&rodtec$/!indo!sserver200#4ms&; 1 2 4 0ara obtener m9s informacin acerca de la directiva de auditora de indo!s "erver 200#: consulte la &9gina sobre la directiva de auditora 1# en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv erGel&/LA@7e72bI>c@7I@2abIb#e#IL>1addac>f##4ms&; 1# 2en ingl6s34 0ara obtener m9s informacin acerca de -icrosoft %&erations -anager 2-%-3: consulte la &9gina de -icrosoft %&erations -anager 1@ en $tt&://!!!4microsoft4com/mom/ 1@ 4 0ara obtener m9s informacin acerca de los derec$os de usuario en indo!s "erver 200#: consulte la &9gina de derec$os de usuario 15 en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv erGel&/5A>>A0fbI1aA#I@>0eIa7@5I#57750ced#d>4ms&; 15 2en ingl6s34 0ara obtener m9s informacin acerca de la configuracin &redeterminada de seguridad &ara indo!s "erver 200#: consulte las diferencias de la configuracin &redeterminada de seguridad 1L en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv erGel&/1@>@bf2cIb5>LI@7A5I>#bbIbcALfAe5@Ad54ms&; 1L 2en ingl6s34 0ara obtener m9s informacin acerca de cmo garantizar la seguridad de "ervicios de 5erminal "erver de indo!s 2000: consulte los detalles sobre la seguridad de los "ervicios de 5erminal "erver de indo!s 2000 17 en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!in21ts/maintain/o&timize/sec! 21ts4ms&; 17 2en ingl6s34 0ara obtener m9s informacin acerca de cmo garantizar la seguridad de la &ila 5*0/I0 de indo!s "erver 200#: consulte el artculo de -icrosoft Mno!ledge Fase J*mo &roteger la &ila 5*0/I0 frente a ata+ues &or denegacin de servicio Page 103 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx en la familia indo!s "erver 200# 1A J en $tt&://su&&ort4microsoft4com/< scid=#2@270 1A 4 0ara obtener m9s detalles acerca de cmo reforzar la configuracin de las a&licaciones indo!s "oc1ets: consulte el artculo de -icrosoft Mno!ledge Fase sobre la no dis&onibilidad de los servidores de Internet debido a ata+ues "N? malintencionados 1> en $tt&://su&&ort4microsoft4com/<1bid=1@2L@1 1> 2en ingl6s34 0ara obtener m9s informacin acerca de la ubicacin de los arc$ivos 4adm: consulte el artculo de -icrosoft Mno!ledge Fase JKbicacin de arc$ivos AD- 2&lantilla administrativa3 en indo!s 20 J en $tt&://su&&ort4microsoft4com/< 1bid=22A@L0 20 4 0ara obtener m9s informacin acerca de cmo &ersonalizar la interfaz de usuario del (ditor de configuracin de seguridad: consulte el artculo de -icrosoft Mno!ledge Fase J*mo agregar configuraciones &ersonalizadas del 'egistro al (ditor de configuracin de seguridad 21 J en $tt&://su&&ort4microsoft4com/< scid=21@752 21 4 0ara obtener m9s informacin acerca de cmo crear arc$ivos de &lantillas administrativas &ersonalizadas en indo!s: consulte el artculo de -icrosoft Mno!ledge Fase J*mo crear &lantillas administrativas &ersonalizadas en indo!s 2000 22 J en $tt&://su&&ort4microsoft4com/<scid=#2#L#> 22 4 'evise tambi6n las notas del &roducto relativas a la im&lementacin de la directiva de gru&o basada en el 'egistro 2# en $tt&://!!!4microsoft4com/I?D%"2000/tec$info/$o!it!or1s/management/r b&&a&er4as& 2# 2en ingl6s34 0ara obtener m9s informacin acerca de cmo garantizar +ue las configuraciones del nivel de autenticacin de 8A? -anager m9s seguras funcionen en redes con una combinacin de e+ui&os con indo!s 2000 7 indo!s ?5 @40: consulte el artculo de -icrosoft Mno!ledge Fase J0roblemas de autenticacin en indo!s 2000 con niveles de ?58- 2 su&eriores a 2 en un dominio de indo!s ?5 @40 2@ J en $tt&://su&&ort4microsoft4com/< scid=#05#7> 2@ 4 0ara obtener m9s informacin acerca de la autenticacin ?58-v2: consulte el artculo de -icrosoft Mno!ledge Fase J*mo $abilitar la autenticacin ?58- 2 25 J en $tt&://su&&ort4microsoft4com/<scid=2#>AL> 25 4 0ara obtener m9s informacin acerca de la configuracin &redeterminada de los servicios en indo!s "erver 200#: consulte la &9gina sobre la configuracin &redeterminada de servicios 2L en $tt&://!!!4microsoft4com/tec$net/&rodtec$nol/!indo!sserver200#/librar7/"erv erGel&/2b1dcLcfI2e#@I@LA1I>aaLIAd0ffba2d#e#4ms&; 2L 2en ingl6s34 Page 104 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 0ara obtener m9s informacin acerca de la im&lementacin de tar,etas inteligentes: consulte la &9gina sobre cmo fomentar la calidad de la informacin de la red con tar,etas inteligentes 27 en $tt&://!!!4microsoft4com/tec$net/tec$netmag/issues/2005/01/"mart*ards/def ault4as&; 27 2en ingl6s34 0ara obtener m9s informacin sobre el valor del 'egistro J'estrict Anon7mousJ 7 indo!s 2000: consulte el artculo de -icrosoft Mno!ledge Fase sobre la &osibilidad de +ue el valor del 'egistro J'estrictAnon7mousJ afecte a la confianza de un dominio indo!s 2000 2A en $tt&://su&&ort4microsoft4com/< 1bid=2>L@05 2A 2en ingl6s34 0ara obtener m9s informacin sobre los informes de errores: consulte la &9gina sobre informes de errores cor&orativos 2> en $tt&://!!!4microsoft4com/resources/satec$/cer/ 2> 2en ingl6s34 0ara obtener informacin acerca de los &uertos de red utilizados &or las a&licaciones de -icrosoft: consulte el artculo de -icrosoft Mno!ledge Fase J Introduccin al servicio 7 re+uisitos del &uerto de red &ara el sistema indo!s "erver #0 J en $tt&://su&&ort4microsoft4com/1b/A#2017 #0 4
0rinci&io de la &9gina
4escargar %btenga la )ua de seguridad de indo!s "erver 200# #1
0oti'icaciones de actualizaciones "uscrbase &ara obtener m9s informacin sobre actualizaciones 7 nuevas versiones #2
Comentarios (nvenos sus comentarios o sugerencias ##
0rinci&io de la &9gina Tabla de v'nculos 1 htt":##go$microsoft$com#fwlin%#&'in%(d)*+*+, 2 htt":##technet$microsoft$com#es-"e#li.rary#/c*03*2*$sgfg010*2.ig3l)es-es4$gif # htt":##technet$microsoft$com#es-"e#li.rary#/c*03*2*$sgfg01022.ig3l)es-es4$gif @ htt":##su""ort$microsoft$com#&%.id)5,*+,6 Page 105 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx 5 htt":##www$microsoft$com#technet#"rodtechnol#e7change#guides#82%3A9Perm#* *0e36.f-a05c-16..-.1d+-*cfd+3,d,c.a$ms"7 L htt":##su""ort$microsoft$com#default$as"7&%.id)3*+23* 7 htt":##www$microsoft$com#technet#security#to"ics#serversecurity#serviceaccount# default$ms"7 A htt":##su""ort$microsoft$com#default$as"7&%.id)211*3, > htt":##technet$microsoft$com#es-es#li.rary#cc66056*$as"7 10 htt":##go$microsoft$com#fwlin%#&lin%id)131+0 11 htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv er:el"#dd,50ca3-f050-1ffc-a0*6-+0c0210f++52$ms"7 12 htt":##www$microsoft$com#technet#security#"rodtech#windowsserver2003$ms"7 1# htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv er:el"#0516e62.-,c16-12a.-.3e3-0,*addac,f33$ms"7 1@ htt":##www$microsoft$com#mom# 15 htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv er:el"#+5,,50f.-*a53-1,0e-a61+-3+66+0ced3d,$ms"7 1L htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv er:el"#*1,1.f2c-.+,0-165+-,3..-.c50f5e+15d+$ms"7 17 htt":##www$microsoft$com#technet#"rodtechnol#win2%ts#maintain#o"timize#secw 2%ts$ms"7 1A htt":##su""ort$microsoft$com#&%.id)321260 1> htt":##su""ort$microsoft$com#&%.id)*1201* 20 htt":##su""ort$microsoft$com#&%.id)225100 21 htt":##su""ort$microsoft$com#&%.id)2*16+2 22 htt":##su""ort$microsoft$com#&%.id)32303, 2# htt":##www$microsoft$com#W(;9<WS2000#techinfo#howitwor%s#management#r. ""a"er$as" 2@ htt":##su""ort$microsoft$com#&%.id)30+36, 25 htt":##su""ort$microsoft$com#&%.id)23,50, 2L htt":##www$microsoft$com#technet#"rodtechnol#windowsserver2003#li.rary#Serv er:el"#2.*dc0cf-2e31-105*-,aa0-5d0ff.a2d3e3$ms"7 27 htt":##www$microsoft$com#technet#technetmag#issues#200+#0*#Smart/ards# Page 106 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx Z 2012 -icrosoft4 'eservados todos los derec$os4 2A htt":##su""ort$microsoft$com#&%.id)2,010+ 2> htt":##www$microsoft$com#s"ain#licencias#sa#cer$ms"7 #0 htt":##su""ort$microsoft$com#%.#5320*6 #1 htt":##go$microsoft$com#fwlin%#&lin%id)*1510 #2 htt":##go$microsoft$com#fwlin%#&lin%id)+1,52 ## mailto:secwish=microsoft$com&asunto)>u?/3?A9a?20de?20seguridad? 20de?20Windows?20Server?202003 ontenido de la comunidad
Page 107 of 107 Captulo 4: Directiva de lnea de base de servidores miembro 21/03/2012 http://technet.microsoft.com/es-pe/library/cc163121(d=printer).aspx