Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01 PDF

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT
VERSIN WINDOWS SERVER 2008 R2
Autor: IBM de Colombia S.A.

Cliente: Confidencial IBM
Elaborado por Fecha Versin

Sandra Milena Tibocha Roa - Febrero de 2014 1,0
CEH
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS]
Tabla de Contenido
1.1 Estndares para Aseguramiento de Servidores Windows 3
1.1.1 Recomendaciones y supuestos 3
1.1.2 Planeacin de la Instalacin 4
1.1.3 Actualizaciones de Windows 8
1.1.4 Estndar para Windows Server 2008 R2 10
1.1.5. Referencias 66
2
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
1.1 Estndares para Aseguramiento de Servidores Windows
1.1.1 Recomendaciones y supuestos
La aplicacin de esta gua, no garantiza que se eliminarn todas las vulnerabilidades del
sistema, ni que ser completamente invulnerable a accesos no autorizados. Sin
embargo, seguir cuidadosamente los pasos de esta gua resultar en un sistema que es
mucho ms confiable y seguro que el de una instalacin del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.
Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a

Administradores de Sistemas con experiencia en la plataforma a asegurar.
Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de
instalar, mantener y/o configurar sistemas Windows Server 2008 R2.
En el contexto de este documento, un usuario Administrador es definido como la

persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el
control de acceso, sabe como configurar polticas y derechos de acceso a cuentas,
conoce como realizar auditoras de logs y puede configurar otras funcionalidades
similares en el sistema.
Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente

que el administrador del sistema realice backup de los archivos crticos del mismo, que
se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre
sistemas en produccin.
Las acciones descritas en esta gua son escritas asumiendo que sern ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberan ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la gua ha sido desarrollada asumiendo que
ser ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.
Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a

los parmetros predeterminados de una instalacin estndar, sin embargo se
documentan porque el aseguramiento puede realizarse tambin sobre plataformas en
produccin cuyos valores predeterminados hayan sido modificados a travs del tiempo.
Estas guan han sido elaboradas desde el punto de vista de la seguridad de la

informacin, y aunque est pensada para la mayora de las organizaciones, puede que
no todas las recomendaciones apliquen desde el punto de vista del negocio. Se
recomienda evaluar el impacto que cada uno de los parmetros a modificar podra traer
a la organizacin, antes de aplicar esta gua en ambientes de produccin
3
Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de

finalizar la gua, requieren un reinicio del sistema.
1.1.2 Planeacin de la Instalacin
Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server
2008 R2. Con tantas opciones, puede llegar a ser difcil conocer cuales mecanismos de
seguridad y configuraciones se deberan usar para asegurar adecuadamente un
servidor. En esta gua se describen algunas de las caractersticas tcnicas y de
seguridad que probablemente sern las ms beneficiosas para la mayora de
ambientes.
Cuando se est realizando aseguramiento de un servidor con Windows Server 2008

R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y
aseguramiento despus del despliegue. El aseguramiento antes del despliegue se
podra llamar planificacin de la seguridad. Si se est realizando la instalacin de un
nuevo servidor, hay ciertas consideraciones de seguridad que deberan tenerse en
cuenta antes de realizar el proceso de instalacin.
1.1.2.1 Aislamiento de las funciones del servidor
Una de las primeras tareas dentro de la planeacin de la seguridad antes del

despliegue es tomar medidas para reducir la superficie de ataque. Esto est basado en
el concepto de que entre ms cdigo ejecutndose en un sistema, mayor es la
probabilidad de que el cdigo contenga una vulnerabilidad que podra ser explotada.
Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema
no est ejecutando cdigo innecesario.
Como recomendacin, en general, se debe configurar cada servidor para realizar una
nica tarea especfica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP
en el servidor que ya est configurado para actuar como un servidor de archivos, es
recomendable desde el punto de vista de seguridad, instalar un nuevo servidor
dedicado para ejecutar cada funcin. Esto no slo ayuda a reducir la superficie del
ataque, sino que tambin puede hacer que solucionar un problema en el servidor
resulte ms sencillo, ya que cada servidor ejecuta una configuracin menos compleja.
Es comprensible que algunas veces el uso de un servidor independiente para cada

funcin no es lo ms prctico, ya sea por su costo o por los requisitos de
funcionalidad. An as, es una buena idea aislar las funciones del servidor siempre que
pueda.
4
La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por

ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro
de un mximo de cuatro mquinas virtuales (VM), siempre y cuando que en el servidor
fsico subyacente se ejecute nicamente Hyper-V.
1.1.2.2 Use server core
Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para

ejecutar Server Core. Server Core es una instalacin mnima de 2008 R2 que no
incluye la interfaz grfica de usuario completa.
Debido a que las implementaciones de Server Core ejecutan un conjunto mnimo de

servicios del sistema, tienen una superficie de ataque mucho ms pequeo que un
despliegue tradicional de Windows Server. Una instalacin de Server Core tambin
tiende a obtener mejores resultados que una instalacin completa de Windows Server.
El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su
uso dentro de las mquinas virtuales.
Desafortunadamente, no se puede utilizar Server Core para todas las

implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del
sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las
implementaciones de Server Core. Se recomienda tener en cuenta los siguientes
problemas conocidos sobre la instalacin de Server Core:
No se puede realizar la actualizacin a una instalacin Server Core desde una

versin anterior del sistema operativo Windows Server. Slo se admite una
instalacin limpia.
No se puede realizar la actualizacin a una instalacin Server Core desde una

instalacin completa de Windows Server 2008. Slo se admite una instalacin
limpia.
No se puede realizar la actualizacin desde una instalacin Server Core a una

instalacin completa de Windows Server 2008. Si requiere la interfaz de usuario
de Windows o una funcin de servidor que no se admite en una instalacin
Server Core, deber realizar una instalacin completa de Windows Server 2008.
Para mayor informacin sobre la instalacin de Sever Core en Windows 2008 Server,
consulte Gua paso a paso de la opcin de instalacin Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
5
1.1.2.3 Use Microsoft Security Compliance Manager (SCM)
La planificacin de la seguridad antes del despliegue es importante, pero una vez que
las cosas estn en marcha y funcionando, una de las mejores prcticas de seguridad
debe incluir la permanente planificacin y gestin de las polticas de grupo. Es
recomendable tomar la configuracin de directiva de grupo en cuenta antes de la
implementacin de Windows. Tambin tendr que ajustar la configuracin de
directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando

las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede
simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance Manager en http://www.microsoft.com/en-
us/download/details.aspx?id=16776 ).
El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de

seleccionar la casilla de verificacin que le dice al asistente de configuracin que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una
herramienta que facilita enormemente la gestin del bastionado de sistemas y
servicios basados en tecnologa Microsoft. Esta aplicacin permite distintos mtodos de
administracin de la configuracin de seguridad basados en plantillas. Con la
instalacin se descargan las Baselines de buenas prcticas creadas por Microsoft y
adems, tambin crea una lnea base en funcin a la configuracin actual de un
sistema, en caso de que la organizacin tenga parmetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las
propias de Microsoft, estn se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestin), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se
deseen importar posteriormente). De tal forma que puedan ser aplicadas tambin en
equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a travs del men de inicio del servidor.
Al ejecutarlo por primera vez, el software tendr que importar una serie de diferentes
paquetes de la lnea base de seguridad. Este proceso puede tardar varios minutos en
completarse.
Una vez que haya importado los paquetes de la lnea base de seguridad, ver una lista
de categoras en el rbol de la consola. Expanda el contenedor R2 SP1 de Windows
Server 2008 para ver las opciones disponibles para Windows Server 2008 R2.
Microsoft proporciona lneas base de seguridad para un variado nmero de funciones
de servidor. (Observe la Figura 1).
6
Ilustracin 1 Diferentes categoras de Security Compliance Manager
Microsoft SCM fue un excelente recurso en el desarrollo de esta gua, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus
recursos, incluyendo herramientas como GPOAccelerator y los paquetes de
configuracin DCM, que ayudan en la rpida implementacin de las polticas de
configuracin de seguridad.
Para obtener ms informacin sobre Security Compliance Manager, consulte:
Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-

us/library/gg236605.aspx
Microsoft Security Compliance Manager (SCM) en
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-
security-compliance-manager-scm.aspx
Security Compliance Manager (SCM) en http://technet.microsoft.com/en-
us/solutionaccelerators/cc835245.aspx
7
1.1.3 Actualizaciones de Windows

1.1.3.1 Aplique los ltimos parches
Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento

de un servidor. El administrador del sistema debe realizar constantemente la
actualizacin y parcheo de sus servidores contra vulnerabilidades de da cero.
Los parches no se limitan al sistema operativo, sino tambin deben incluir cualquier
aplicacin que se aloje en ellos. Los administradores deben revisar peridicamente los
sitios web del proveedor para obtener las ltimas actualizaciones. Windows Server
2008 ofrece un conjunto de herramientas que ayudan al administrador a tener
actualizado y parchados sus servidores:
Windows Server Update Services (WSUS) proporciona un servicio de

actualizacin de software para los sistemas operativos Microsoft Windows y otro
software de Microsoft. Mediante el uso de Windows Server Update Services, los
administradores pueden gestionar la distribucin de los updates urgentes de
Microsoft y las actualizaciones lanzadas a travs de las actualizaciones
automticas de los equipos en un entorno corporativo. WSUS permite a los
administradores rastrear la "salud de las actualizaciones" de cada servidor
individual.
Microsoft Baseline Security Analyzer (MBSA) es una herramienta de
auditora fcil de usar, diseada para determinar el estado de seguridad de
conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo
orientacin especfica sobre la remediacin. MBSA proporciona controles
integrados que permiten determinar si vulnerabilidades administrativas de
Windows estn presentes, si se estn usando contraseas dbiles en las cuentas
de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL
Server, y que actualizaciones de seguridad se requieren en cada sistema
individual. MBSA proporciona una evaluacin dinmica de las actualizaciones de
seguridad pendientes. MBSA puede escanear una o ms servidores por dominio,
rango de direcciones IP u otra agrupacin. Una vez finalizado el anlisis, MBSA
proporciona un informe detallado y las instrucciones sobre la forma de ayudar a
convertir el sistema en un entorno de trabajo ms seguro. MBSA crea y
almacena informes de seguridad en formato XML de manera individual para
cada equipo examinado y muestra los informes en la interfaz grfica de usuario
en HTML.
1.1.3.2 Valide el sistema antes de hacer cambios
Asegrese que el sistema est funcionando correctamente antes de hacer cambios,

esto, adems de ser una buena prctica, puede evitarle muchas horas de trabajo. Esta
8
gua contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema.
Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la mquina.
9
1.1.4 Estndar para Windows Server 2008 R2
Tema:
1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Habilita la deteccin, descarga e instalacin
de actualizaciones para Windows y otros
Para implementar la configuracin recomendada, configure el
programas. Si este servicio est
siguiente Group Polity en 2:
Configure 'Windows deshabilitado, no ser posible utilizar
Update' en 'Automatic' Windows Update para realizar
Computer Configuration\Windows Settings\Security
actualizaciones automticas y los
Settings\System Services\Windows Update
programas no podrn usar la API del
Agente de Windows Update (WUA)
Este servicio administra los eventos y los
registros de eventos. Soporta el registro de
eventos, consulta de eventos, archivado Para implementar la configuracin recomendada, configure el
de los registros de eventos, y la gestin de siguiente Group Polity en 2:
Configure 'Windows Event
metadatos de los eventos. Puede mostrar
Log' en 'Automatic'
los eventos en formato XML y formato de Computer Configuration\Windows Settings\Security
texto. Detener este servicio puede Settings\System Services\Windows Event Log
comprometer la seguridad y la fiabilidad del
sistema.
Base Filtering Engine (BFE) es un servicio
que gestiona las polticas de seguridad del
firewall y del protocolo de Internet (IPsec) Para implementar la configuracin recomendada, configure el
e implementa el filtrado en modo usuario. siguiente Group Polity en 2:
Configure 'Base Filtering
Detener o deshabilitar el servicio BFE
Engine' en 'Automatic'
reducir significativamente la seguridad del Computer Configuration\Windows Settings\Security
sistema. Tambin dar lugar a un Settings\System Services\Base Filtering Engine
comportamiento impredecible en gestin la
gestin de IPsec y aplicaciones de firewall.
Permite al servidor reconocer y adaptarse a Para implementar la configuracin recomendada, configure el
los cambios de hardware con poca o siguiente Group Polity en 2:
Configure 'Plug and Play'
ninguna intervencin del administrador.
en 'Automatic'
Detener o deshabilitar este servicio dar Computer Configuration\Windows Settings\Security
lugar a la inestabilidad del sistema. Settings\System Services\Plug and Play
10
Tema:
Proporciona soporte para NetBIOS sobre el
servicio TCP/IP (NetBT) y resolucin de
nombres NetBIOS para clientes de la red,
por lo tanto, permite a los usuarios Para implementar la configuracin recomendada, configure el
compartir archivos, imprimir e iniciar siguiente Group Polity en 2:
Configure 'TCP/IP NetBIOS
sesin en la red. Si se detiene este
Helper' en 'Automatic'
servicio, estas funciones no estarn Computer Configuration\Windows Settings\Security
disponibles. Si este servicio est Settings\System Services\TCP/IP NetBIOS Helper
deshabilitado, cualquier servicio que
dependa explcitamente de l no podr
iniciar.
El servicio IKEEXT aloja el intercambio de
claves de Internet (IKE) y los mdulos del
protocolo Authenticated Internet Protocol
(AuthIP). Estos mdulos se utilizan para la
autenticacin y el intercambio de claves en Para implementar la configuracin recomendada, configure el
el protocolo de seguridad de Internet siguiente Group Polity en 2:
Configure 'IKE and AuthIP
(IPsec). Detener o deshabilitar el servicio
IPsec Keying Modules' en
IKEEXT deshabilitar IKE y el intercambio Computer Configuration\Windows Settings\Security
'Automatic'
de claves AuthIP con equipos del mismo Settings\System Services\IKE and AuthIP IPsec Keying
nivel. IPsec se configura normalmente para Modules
usar IKE o AuthIP, por lo tanto, detener o
deshabilitar el servicio IKEEXT podra dar
lugar a un fallo de IPsec y podra poner en
peligro la seguridad del sistema.
La puesta en marcha de este servicio le
indica a otros servicios del sistema que el
Security Accounts Manager (SAM) est listo
para aceptar peticiones. La desactivacin
Configure 'Security siguiente Group Polity en 2:
de este servicio evitar que otros servicios
Accounts Manager' en
en el sistema sean notificados cuando la
'Automatic' Computer Configuration\Windows Settings\Security
SAM est lista, lo que a su vez puede
Settings\System Services\Security Accounts Manager
causar que esos servicios no se inicien
correctamente. Este servicio no se debe
desactivar.
Configure 'Power' en Permite al servidor reconocer y adaptarse a Para implementar la configuracin recomendada, configure el
11
Tema:
'Automatic' los cambios de hardware con poca o siguiente Group Polity en 2:
ninguna intervencin del usuario. Detener o
deshabilitar este servicio dar lugar a la Computer Configuration\Windows Settings\Security
inestabilidad del sistema. Settings\System Services\Power

Identifica las redes a las que el equipo se
ha conectado, recopila y almacena las
Configure 'Network List
propiedades de estas redes, y notifica a las
Service' en 'Automatic' Computer Configuration\Windows Settings\Security
aplicaciones cuando estas propiedades
Settings\System Services\Network List Service
cambian.
Configure 'Microsoft Fibre
Registra la plataforma con todos los Fibre
Channel Platform
Channel disponibles, y mantiene los Computer Configuration\Windows Settings\Security
Registration Service' en
registros. Settings\System Services\Microsoft Fibre Channel Platform
'Automatic'
Registration Service
Permite la descarga, instalacin y ejecucin Para implementar la configuracin recomendada, configure el

de las licencias digitales para aplicaciones siguiente Group Polity en 2:
Configure 'Software de Windows y Windows. Si el servicio est
Protection' en 'Automatic' deshabilitado, el sistema operativo y las
Settings\System Services\Software Protection
aplicaciones con licencia pueden ejecutarse
en un modo de funcionamiento reducido.
Este servicio entrega notificaciones de red Para implementar la configuracin recomendada, configure el
(por ejemplo, adicin/borrado de una siguiente Group Polity en 2:
interfaz, etc.) para los clientes en modo de
Configure 'Network Store Computer Configuration\Windows Settings\Security
usuario. Detener este servicio causar la
Interface Service' en Settings\System Services\Network Store Interface Service
prdida de conectividad de red. Si este
'Automatic'
servicio est deshabilitado, cualquier otro
servicio que dependa explcitamente de l
no se podr iniciar.
El Firewall de Windows ayuda a proteger su Para implementar la configuracin recomendada, configure el
Configure 'Windows equipo al impedir que usuarios no siguiente Group Polity en 2:
Firewall' en 'Automatic' autorizados puedan acceder al servidor a
travs de Internet o de una red.
12
Tema:
Settings\System Services\Windows Firewall
Supports System Event Notification Service Para implementar la configuracin recomendada, configure el
(SENS), proporciona la distribucin siguiente Group Polity en 2:
automtica de eventos a los componentes
del Component Object Model (COM). Si se
Settings\System Services\COM+ Event System
Configure 'COM+ Event detiene este servicio, SENS se cerrar y no
System' en 'Automatic' podr ofrecer notificaciones de inicio y
cierre de sesin. Si este servicio est
dependa explcitamente de l no podr
iniciar.
Funciona como el endpoint mapper y COM Para implementar la configuracin recomendada, configure el
Service Control Manager. Si este servicio se siguiente Group Polity en 2:
Configure 'Remote
detiene o deshabilita, los programas que
Procedure Call (RPC)' en Computer Configuration\Windows Settings\Security
utilizan COM o llamadas a procedimientos
'Automatic' Settings\System Services\Remote Procedure Call (RPC)
remotos (RPC) no funcionarn
correctamente.
Configure 'DCOM Server siguiente Group Polity en 2:
Proporciona funcionalidad de inicio para los
Process Launcher' en
servicios DCOM Computer Configuration\Windows Settings\Security
'Automatic'
Settings\System Services\DCOM Server Process Launcher
Este servicio es responsable de la carga y Para implementar la configuracin recomendada, configure el
descarga de los perfiles de usuario. Si este siguiente Group Polity en 2:
servicio se detiene o deshabilita, los
usuarios ya no podrn iniciar la sesin o
Configure 'User Profile Settings\System Services\User Profile Service
cierre de sesin con xito, las aplicaciones
Service' en 'Automatic'
pueden tener problemas para obtener los
datos de los usuarios, y los componentes
registrados para recibir notificaciones de
eventos de perfil no las recibirn.
Configure 'Shell Hardware Proporciona notificaciones de eventos de Para implementar la configuracin recomendada, configure el
Detection' en 'Automatic' hardware AutoPlay. siguiente Group Polity en 2:
13
Tema:
Settings\System Services\Shell Hardware Detection
Proporciona una interfaz comn y un Para implementar la configuracin recomendada, configure el

modelo de objeto para tener acceso a la siguiente Group Polity en 2:
informacin de gestin sobre el sistema
Configure 'Windows operativo, dispositivos, aplicaciones y
Settings\System Services\Windows Management
Management servicios. Si se detiene este servicio, la
Instrumentation
Instrumentation' en mayora del software basado en Windows
'Automatic' no funcionar correctamente. Si este
servicio est deshabilitado, cualquier
no se podr iniciar.
El servicio es responsable de aplicar los Para implementar la configuracin recomendada, configure el
ajustes configurados por los siguiente Group Polity en 2:
administradores para el equipo y los
usuarios a travs del componente Directiva
Settings\System Services\Group Policy Client
de grupo. Si el servicio se detiene o
deshabilita, los ajustes no se aplicarn y
Configure 'Group Policy
las aplicaciones y los componentes no
Client' en 'Automatic'
sern administrables a travs de la
directiva de grupo. Cualquiera de los
componentes o aplicaciones que dependen
del componente Directiva de grupo podran
no ser funcionales si el servicio est
detenido o deshabilitado.
Proporciona cuatro servicios de Para implementar la configuracin recomendada, configure el
administracin: Catalog Database Service, siguiente Group Polity en 2:
que confirma las firmas de archivos de
Windows y permite que nuevos programas
Configure 'Cryptographic Settings\System Services\Cryptographic Services
sean instados; Protected Root Service, que
Services' en 'Automatic'
adiciona y elimina Trusted Root
Certification Authority de la Autoridad de
Certificacin del servidor; Automatic Root
Certificate Update Service, que recupera
14
Tema:
certificados raz de Windows Update y
habilita escenarios como SSL, y Key
Service, los cuales ayudan a inscribir este
equipo a certificados. Si se detiene este
servicio, estos servicios de gestin no
funcionarn correctamente. Si este servicio
est deshabilitado, cualquier servicio que
dependa explcitamente de l no se podr
iniciar.
Crea y mantiene conexiones de cliente de Para implementar la configuracin recomendada, configure el
red a servidores remotos mediante el siguiente Group Polity en 2:
protocolo SMB. Si se detiene este servicio,
Configure 'Workstation' en Computer Configuration\Windows Settings\Security
estas conexiones no estarn disponibles. Si
'Automatic' Settings\System Services\Workstation
este servicio est deshabilitado, cualquier
no se podr iniciar.
Permite sincronizar carpetas en varios Para implementar la configuracin recomendada, configure el
servidores a travs de la red local o de siguiente Group Polity en 2:
rea amplia (WAN). Este servicio utiliza el
Configure 'DFS Computer Configuration\Windows Settings\Security
protocolo Compresin diferencial remota
Replication' en 'Automatic' Settings\System Services\DFS Replication
(RDC) para actualizar slo las partes de los
archivos que han cambiado desde la ltima
replicacin.
Mantiene la fecha y la sincronizacin de la Para implementar la configuracin recomendada, configure el
hora en todos los clientes y servidores de siguiente Group Polity en 2:
la red. Si se detiene este servicio, la fecha
Configure 'Windows Time' y hora de sincronizacin no estar
Settings\System Services\Windows Time
en 'Automatic' disponible. Si este servicio est
iniciar.
Configure 'Desktop Proporciona servicios de puesta en marcha siguiente Group Polity en 2:
Window Manager Session y mantenimiento del gestor de ventanas de
Manager' en 'Automatic' escritorio Computer Configuration\Windows Settings\Security
Settings\System Services\Desktop Window Manager Session
15
Tema:
Manager
Permite al usuario configurar y programar Para implementar la configuracin recomendada, configure el
tareas automatizadas en este equipo. Si se siguiente Group Polity en 2:
detiene este servicio, estas tareas no se
Configure 'Task Scheduler' Computer Configuration\Windows Settings\Security
ejecutarn en sus horas programadas. Si
en 'Automatic' Settings\System Services\Task Scheduler
este servicio est deshabilitado, cualquier
no se podr iniciar.
Recopila y almacena informacin de Para implementar la configuracin recomendada, configure el
configuracin de la red y notifica a los siguiente Group Polity en 2:
programas cuando esta informacin se
Configure 'Network modifica. Si se detiene este servicio, la
Settings\System Services\Network Location Awareness
Location Awareness' en informacin de configuracin puede no
'Automatic' estar disponible. Si este servicio est
iniciar.
Esta poltica permite a los Servicios del Para implementar la configuracin recomendada, configure el
Configure 'Network
sistema local que usan Negotiate usar la siguiente Group Polity en 2:
security: Allow Local
identidad del servidor cuando utilicen
System to use computer Computer Configuration\Windows Settings\Security
autenticacin NTLM. Esta poltica es
identity for NTLM' en Settings\Local Policies\Security Options\Network security:
soportada al menos en Windows 7 o
'Enabled' Allow Local System to use computer identity for NTLM
Windows server 2008 R2.
Esta poltica de habilita el comando Para implementar la configuracin recomendada, configure el
Recovery Console SET, el cual permite siguiente Group Polity en 0:
configurar las siguientes variables de
ambiente para recovery console:
Configure 'Recovery Settings\Local Policies\Security Options\Recovery console:
AllowWildCards: Habilita la compatibilidad
console: Allow floppy copy Allow floppy copy and access to all drives and all folders
con comodines para algunos comandos
and access to all drives
(como el comando DEL). AllowAllPaths.
and all folders' en
Permite el acceso a todos los archivos y
'Disabled'
carpetas del equipo. AllowRemovableMedia.
Permite que los archivos que se copien en
medios extrables, como un disquete.
NoCopyPrompt. No le confirma antes de
16
Tema:
sobrescribir un archivo existente.

Configure 'Network Permite a NTLM retroceder una sesin siguiente Group Polity en 0:
security: Allow NULA cuando es usada con LocalSystem.
LocalSystem NULL session Las sesiones NULAS son poco seguras, ya
Settings\Local Policies\Security Options\Network security:
fallback' en 'Disabled' que por definicin son no autenticadas.
Allow LocalSystem NULL session fallback
Esta configuracin de directiva determina si Para implementar la configuracin recomendada, configure el
la cuenta de invitado est activada o siguiente Group Polity en 0:
desactivada. La cuenta Invitado permite
que usuarios no autenticados de la red
puedan acceder al sistema. Tenga en Computer Configuration\Windows Settings\Security
cuenta que este ajuste no tendr ningn Settings\Local Policies\Security Options\Accounts: Guest
impacto cuando se aplica a la unidad account status
organizativa del controlador de dominio a
travs de la poltica de grupo, porque los
controladores de dominio no tienen
ninguna base de datos de cuentas locales.
Se puede configurar en el nivel de dominio
Configure 'Accounts: a travs de la poltica del grupo, similar a
Guest account status' en la cuenta de configuracin de la directiva
'Disabled' de bloqueo y contrasea.
La cuenta de invitado por omisin permite

que usuarios no autenticados inicien sesin
como invitado sin contrasea. Estos
usuarios no autorizados pueden acceder a
los recursos que son accesibles a la cuenta
de invitado en la red. Esta capacidad
significa que los recursos compartidos de
red con permisos que permiten el acceso a
la cuenta de invitado (Guest account), el
grupo invitados (Guests group), o el grupo
Todos (Everyone group) podrn acceder a
17
Tema:
travs de la red, lo que podra dar lugar a
la exposicin o la corrupcin de los datos.
el servidor de Protocolo ligero de acceso a siguiente Group Polity en 2:
directorios (LDAP) requiere que los clientes
LDAP negocien la firma de datos.
Settings\Local Policies\Security Options\Domain controller:
El trfico de red sin firmar es susceptible a
Configure 'Domain LDAP server signing requirements
ataques man-in-the-middle. En este tipo de
controller: LDAP server
ataques, un intruso captura paquetes entre
signing requirements' en
el servidor y el cliente, los modifica y, a
'Require signing'
continuacin, los reenva al cliente. Cuando
se trate de servidores LDAP, un atacante
podra hacer que un cliente tome
decisiones que se basan en registros falsos
del directorio LDAP.
un ordenador porttil puede ser siguiente Group Polity en 0:
desacoplado, si el usuario no inicia sesin
en el sistema. Habilite esta configuracin
Settings\Local Policies\Security Options\Devices: Allow
de directiva para eliminar el requisito de
undock without having to log on
inicio de sesin y permitir el uso de un
botn externo de expulsin de hardware
para desacoplar el ordenador. Si
deshabilita esta configuracin de directiva,
Configure 'Devices: Allow
el usuario debe iniciar la sesin y debe
undock without having en
tener activa el permiso Remove computer
log on' to 'Disabled'
from docking station para desacoplar el
ordenador.
Si esta configuracin de directiva est

habilitada, cualquier persona con acceso
fsico a las computadoras porttiles en
estaciones de acoplamiento (docking
stations) podra removerlos y posiblemente
modificar datos en l.
Configure 'User Account Esta configuracin de directiva controla el Para implementar la configuracin recomendada, configure el
18
Tema:
Control: Behavior of the comportamiento del indicador de elevacin siguiente Group Polity en 5:
elevation prompt for de privilegios para los administradores.
administrators in Admin El valor por defecto es Pedir
Settings\Local Policies\Security Options\User Account
Approval Mode' en 'Prompt consentimiento para binarios que no son de
Control: Behavior of the elevation prompt for administrators
for consent for non- Windows: Cuando una operacin para una
in Admin Approval Mode
Windows binaries' aplicacin que no es de Microsoft requiere
la elevacin de privilegios, se solicita al
usuario en el escritorio seguro seleccionar
Permitir o Denegar. Si el usuario selecciona
Permitir, la operacin contina con el ms
alto privilegio disponible para el usuario.
Esta configuracin de directiva determina Para implementar la configuracin recomendada, configure el
quin puede formatear y expulsar medios siguiente Group Polity en 0:
extrables. Puede utilizar esta configuracin
de directiva para evitar que usuarios no
Settings\Local Policies\Security Options\Devices: Allowed to
autorizados puedan retirar los datos en un
format and eject removable media
equipo para acceder a l en otro equipo en
el que tienen privilegios de administrador
local.
Configure 'Devices:
Allowed to format and Los usuarios podran mover los datos en
eject removable media' en discos extrables a un equipo diferente en
'Administrators' el que tienen privilegios administrativos.
Despus, el usuario puede tomar posesin
de cualquier archivo, concederse a ellos
mismos control total, y ver o modificar
cualquier archivo. El hecho de que la mayor
parte de los dispositivos de
almacenamiento extrable expulsan medios
pulsando un botn mecnico disminuye la
ventaja de esta directiva.
Configure 'Network En Windows Vista, esta opcin no est Para implementar la configuracin recomendada, configure el
security: LAN Manager definida. Sin embargo, en Windows 2000, siguiente Group Polity en 5:
authentication level' en Windows Server 2003 y Windows XP estn
'Send NTLMv2 response configurados por defecto para enviar
only. Refuse LM & respuestas de LM y NTLM (Windows 95 y
19
Tema:
NTLM' Windows 98 slo utilizan LM). La LAN Manager authentication level
configuracin predeterminada en los
servidores permite que todos los clientes se
autentiquen con los servidores y utilicen
sus recursos. Sin embargo, esto significa
que las respuestas LM - la forma ms dbil
de respuesta de autenticacin - se envan a
travs de la red, y es potencialmente
posible que los atacantes husmear el
trfico para detectar ms fcilmente
contraseas del usuario. Los sistemas
operativos Windows 95, Windows 98 y
Windows NT no pueden utilizar el protocolo
Kerberos versin 5 para la autenticacin.
Por esta razn, en un dominio de Windows
Server 2003, estos equipos se autentican
de forma predeterminada tanto con la LM y
protocolos NTLM para la autenticacin de
red. Puede aplicar un protocolo de
autenticacin ms seguro para Windows
95, Windows 98 y Windows NT mediante el
uso de NTLMv2. Para el proceso de inicio
de sesin, NTLMv2 utiliza un canal seguro
para proteger el proceso de autenticacin.
Incluso si utiliza NTLMv2 para clientes y
servidores anteriores, los clientes y los
servidores basados en Windows que son
miembros del dominio utilizarn el
protocolo de autenticacin Kerberos para
autenticarse con los controladores de
dominio de Windows Server 2003 .
Esta configuracin de seguridad determina Para implementar la configuracin recomendada, configure el
Configure 'Domain
si los controladores de dominio rechazarn siguiente Group Polity en 0
controller: Refuse machine
las solicitudes de los equipos miembros del
account password Computer Configuration\Windows Settings\Security
dominio para cambiar las contraseas de
changes' en 'Disabled' Settings\Local Policies\Security Options\Domain controller:
cuenta de equipo. De forma
20
Tema:
predeterminada, los equipos miembros Refuse machine account password changes
cambian sus contraseas de cuenta de
equipo cada 30 das. Si est habilitado, el
controlador de dominio rechazar las
solicitudes de cambio de contrasea. Si
est habilitada, esta configuracin no
permite que un controlador de dominio
acepte cualquier cambio en la contrasea
de una cuenta de equipo. Por defecto: Esta
poltica no est definida, lo que significa
que el sistema lo trata como Desactivado.
Esta configuracin de directiva controla el Para implementar la configuracin recomendada, configure el
comportamiento de toda la poltica de User siguiente Group Polity en 1:
Account Control (UAC) en el servidor. Si
Configure 'User Account cambia esta directiva, debe reiniciar el
Control: Run all equipo.
Control: Run all administrators in Admin Approval Mode
administrators in Admin Esta es la configuracin que activa o
Approval Mode' en desactiva el UAC. Si esta opcin est
'Enabled' desactivada, UAC no se utilizar y los
beneficios de seguridad y medidas de
mitigacin de riesgo que dependen de UAC
no estarn presentes en el sistema.
Si habilita esta directiva, los trabajos que Para implementar la configuracin recomendada, configure el
son creados por los operadores de siguiente Group Polity en 0:
servidores mediante el servicio de AT se
ejecutar en el contexto de la cuenta que
Settings\Local Policies\Security Options\Domain controller:
Configure 'Domain ejecuta el servicio. De forma
Allow server operators to schedule tasks
controller: Allow server predeterminada, es la cuenta local
operators to schedule SYSTEM. Si habilita esta configuracin de
tasks' en 'Disabled' directiva, los operadores de servidores
podran realizar tareas SYSTEM es capaz
de hacer, pero que normalmente no seran
capaces de hacer, como agregar su cuenta
al grupo de administradores locales.
Configure 'User Account Esta configuracin de directiva controla el Para implementar la configuracin recomendada, configure el
Control: Admin Approval comportamiento del modo Admin Approval
21
Tema:
Mode for the Built-in de la cuenta de administrador integrada. siguiente Group Polity en 1:
Administrator account' en Las opciones son:
'Enabled' Activado: La cuenta de administrador
Pgina 275 integrada utiliza el modo de aprobacin de
Control: Admin Approval Mode for the Built-in Administrator
administrador. Por defecto, cualquier
account
operacin que requiera la elevacin de
privilegios le pedir al usuario que apruebe
la operacin. . Deshabilitado:
(Predeterminado) La cuenta de
administrador integrada se ejecuta todas
las aplicaciones con privilegios de
administrador completo.
El protocolo PKU2U es un protocolo de Para implementar la configuracin recomendada, configure el
autenticacin de punto a punto, en la siguiente Group Polity en 0
Configure 'Network
mayora de las redes gestionadas la
Security: Allow PKU2U Computer Configuration\Windows Settings\Security
autenticacin debe manejarse de forma
authentication requests en Settings\Local Policies\Security Options\Network Security:
centralizada.
this computer to use Allow PKU2U authentication requests to this computer to use
Nota: Deshabilitar esta opcin podra
online identities' to online identities
ocasionar que las identidades en lnea no
'Disabled'
puedan autenticarse en una mquina
Windows 7 unida al dominio.
quin puede formatear y expulsar medios siguiente Group Polity en 2
Configure 'Devices:
extrables. Puede utilizar esta configuracin
Allowed to format and Computer Configuration\Windows Settings\Security
de directiva para evitar que usuarios no
eject removable media' en Settings\Local Policies\Security Options\Devices: Allowed to
autorizados puedan retirar datos de un
'Administrators and format and eject removable media
equipo para acceder a l en otro equipo en
Interactive Users'
el que tienen privilegios de administrador
local.
Configure 'System el sistema es case sensitivity. Microsoft siguiente Group Polity en 1
objects: Require case Win32 no es sensible a maysculas y
insensitivity for non- minsculas. No obstante, el kernel soporta
Settings\Local Policies\Security Options\System objects:
Windows subsystems' en maysculas y minsculas para todos los
Require case insensitivity for non-Windows subsystems
'Enabled' subsistemas.
Nota: Esta configuracin puede generar
22
Tema:
confusin en los usuarios porque sera
posible crear un archivo con el mismo
nombre que otro archivo, pero con una
mezcla diferente de letras maysculas y
letras minsculas.
Configure 'MSS: Para implementar la configuracin recomendada, configure el
(DisableIPSourceRouting Un atacante podra utilizar paquetes siguiente Group Polity en 2:
IPv6) IP source routing enrutados en el origen para ocultar su
protection level (protects identidad y ubicacin. El enrutamiento de
Settings\Local Policies\Security Options\MSS:
against packet spoofing)' origen permite a un equipo que enva un
(DisableIPSourceRouting IPv6) IP source routing protection
en 'Highest protection, paquete especificar la ruta que el paquete
level (protects against packet spoofing)
source routing is toma.
completely disabled'
La consola de recuperacin es un entorno Para implementar la configuracin recomendada, configure el
de lnea de comandos que se utiliza para siguiente Group Polity en 0:
Configure 'Recovery recuperarse de los problemas del sistema.
console: Allow automatic Si habilita esta configuracin de directiva,
Settings\Local Policies\Security Options\Recovery console:
administrative logon' en la cuenta de administrador se registra
Allow automatic administrative logon
'Disabled' automticamente en la consola de
recuperacin cuando se invoca durante el
inicio.
Esta configuracin de directiva, que Para implementar la configuracin recomendada, configure el
determina si se desconecta a los usuarios siguiente Group Polity en Enabled:
que estn conectados al equipo local fuera
de las horas de inicio de sesin vlida de su
cuenta de usuario, afecta al componente
Force logoff when logon hours expire
SMB. Si habilita esta configuracin de
Configure 'Network
directiva, las sesiones de cliente con el
security: Force logoff
servidor SMB se desconectarn cuando el
when logon hours expire'
tiempo de sesin del cliente caduca. Si
en 'Enabled'
deshabilita esta configuracin de directiva,
las sesiones de cliente establecidas se
mantendrn despus de la hora de inicio de
sesin del cliente caduque.
Si deshabilita esta configuracin de
directiva, el usuario puede permanecer
23
Tema:
conectado a la computadora fuera de sus
horas de inicio de sesin asignados.
Si el registro de seguridad alcanza el 90 Para implementar la configuracin recomendada, configure el
por ciento de su capacidad y el equipo no siguiente Group Polity en 90:
Configure 'MSS: se ha configurado para sobrescribir sucesos
(WarningLevel) cuando sea necesario, los acontecimientos
Settings\Local Policies\Security Options\MSS: (WarningLevel)
Percentage threshold for ms recientes no se escriben en el registro.
Percentage threshold for the security event log at which the
the security event log at Si el registro llega a su capacidad y el
system will generate a warning
which the system will equipo se ha configurado para apagarse
generate a warning' en cuando ya no pueda registrar eventos en el
'90' registro de seguridad, el equipo se apaga y
ya no estar disponible para proporcionar
servicios de red.
La configuracin por defecto para los Para implementar la configuracin recomendada, configure el
equipos basados en Windows Server 2003 siguiente Group Polity en 0:
que pertenecen a un dominio obliga
automticamente a cambiar las
Settings\Local Policies\Security Options\Domain member:
contraseas cada 30 das. Si deshabilita
Configure 'Domain Disable machine account password changes
esta configuracin, los equipos que
member: Disable machine
basados en Windows Server 2003
account password
conservarn las mismas contraseas que
changes' en 'Disabled'
sus cuentas de equipo. Los equipos donde
no se cambia la contrasea de forma
automtica corren el riesgo de que un
atacante pueda determinar la contrasea
de cuenta de dominio del equipo.
un miembro de dominio debe intentar siguiente Group Polity en 1:
negociar el cifrado para todo el trfico de
Configure 'Domain Computer Configuration\Windows Settings\Security
canal seguro que inicie. Si habilita esta
member: Digitally encrypt Settings\Local Policies\Security Options\Domain member:
configuracin de directiva, el miembro de
secure channel data (when Digitally encrypt secure channel data (when possible)
dominio solicitar el cifrado de todo el
possible)' en 'Enabled'
trfico de canal seguro. Si deshabilita esta
(Scored)
configuracin de directiva, el miembro de
dominio se ver impedido de negociar el
cifrado de canal seguro. Microsoft
24
Tema:
recomienda configurar el Miembro de
dominio: cifrar digitalmente datos de un
canal seguro (cuando sea posible) como
Habilitado.
Si esta directiva est habilitada, un usuario Para implementar la configuracin recomendada, configure el
con acceso local podra usar el SID del siguiente Group Polity en False:
Configure 'Network administrador estndar para aprender el
access: Allow anonymous verdadero nombre de la cuenta de
Settings\Local Policies\Security Options\Network access:
SID/Name translation' en administrador, incluso si se ha cambiado el
Allow anonymous SID/Name translation
'Disabled' nombre. Esta persona podra usar el
nombre de cuenta para iniciar un ataque
para adivinar la contrasea.
Puede habilitar esta directiva para Para implementar la configuracin recomendada, configure el
garantizar que el equipo utilizar los siguiente Group Polity en 1:
Configure 'System
algoritmos ms poderosos que estn
cryptography: Use FIPS Computer Configuration\Windows Settings\Security
disponibles para el cifrado digital, hash y
compliant algorithms for Settings\Local Policies\Security Options\System
firmado. El uso de estos algoritmos
encryption, hashing, and cryptography: Use FIPS compliant algorithms for encryption,
minimizar el riesgo de compromiso de los
signing' en 'Enabled' hashing, and signing.
datos cifrados o firmados digitalmente por
un usuario no autorizado.
Cuando un equipo se une a un dominio, se Para implementar la configuracin recomendada, configure el
crea una cuenta de equipo. Despus de que siguiente Group Polity en 1:
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
Digitally encrypt or sign secure channel data (always)
para este dominio cada vez que se reinicia.
Configure 'Domain
Las solicitudes que se envan en el canal
member: Digitally encrypt
seguro se autentican - y la informacin
or sign secure channel
confidencial, como contraseas estn
data (always)' en
cifradas - pero el canal no est
'Enabled'
comprobando la integridad, y no toda la
informacin est cifrada. Si un equipo est
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal
25
Tema:
seguro, el controlador de dominio y el
equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
el servicio SMB en el servidor es capaz de siguiente Group Polity en 1:
firmar los paquetes SMB si es solicitado
por un cliente que intenta establecer una
Settings\Local Policies\Security Options\Microsoft network
conexin. Si no hay solicitud de firma
server: Digitally sign communications (if client agrees)
Configure 'Microsoft proveniente del cliente, una conexin se
network server: Digitally permitir sin firma si la configuracin
sign communications (if firmar digitalmente las comunicaciones
client agrees)' en 'Enabled' (siempre) no est habilitada.
Nota: Habilite esta configuracin de
directiva en los clientes SMB de la red para
que sea posible la firma de paquetes con
todos los clientes y servidores de su
entorno.
Configure 'Network Puede habilitar esta opcin de directiva Para implementar la configuracin recomendada, configure el
security: Minimum session para evitar que el trfico de red que usa siguiente Group Polity en 537395200:
security for NTLM SSP NTLM Security Support Provider (NTLM
based (including secure SSP) sea expuesto o escuchado por un
RPC) servers' en 'Require atacante que haya obtenido acceso a la
Minimum session security for NTLM SSP based (including
NTLMv2 session red. Esto es, esta opcin aumenta la
secure RPC) servers
security,Require 128-bit proteccin contra ataques man-in-the-
encryption' middle.
Configure 'Network
cmo se autentican los inicios de sesin de siguiente Group Polity en 0:
access: Sharing and
red que utilizan cuentas locales. La opcin
security model for local Computer Configuration\Windows Settings\Security
Classic permite un control preciso sobre el
accounts' en 'Classic - Settings\Local Policies\Security Options\Network access:
acceso a los recursos, incluida la posibilidad
local users authenticate as Sharing and security model for local accounts
de asignar diferentes tipos de acceso a
themselves'
diferentes usuarios para el mismo recurso.
26
Tema:
La opcin Guest only le permite tratar
todos los usuarios por igual. En este
contexto, todos los usuarios autenticados
como Guest only recibirn el mismo nivel
de acceso a un recurso determinado.
Configure 'User Account Esta opcin controla si los programas de la
Control: Allow UIAccess interfaz de usuario de accesibilidad
applications to prompt for (UIAccess o UIA) pueden desactivar Computer Configuration\Windows Settings\Security
elevation without using automticamente el escritorio seguro para Settings\Local Policies\Security Options\User Account
the secure desktop' en la elevacin de privilegios solicitada por un Control: Allow UIAccess applications to prompt for elevation
'Disabled' usuario estndar. without using the secure desktop
las cuentas locales que no estn protegidos siguiente Group Polity en 1:
con contrasea se pueden utilizar para
iniciar sesin desde ubicaciones distintas a
Configure 'Accounts: Limit Settings\Local Policies\Security Options\Accounts: Limit local
la consola del equipo fsico. Si habilita esta
local account use of blank account use of blank passwords to console logon only
configuracin de directiva, las cuentas
passwords en console
locales con contraseas en blanco no
logon only' to 'Enabled'
podrn iniciar sesin en la red de los
equipos cliente remoto. Estas cuentas slo
podrn iniciar sesin en el teclado de la
computadora.
se requiere el servicio SMB en el servidor siguiente Group Polity en 1:
Configure 'Microsoft para llevar a cabo la firma de paquetes
network server: Digitally SMB. Habilite esta configuracin de
sign communications directiva en un entorno mixto para evitar
server: Digitally sign communications (always)
(always)' en 'Enabled' que los clientes de versiones inferiores,
usen sus estaciones de trabajo como
servidores de red.
Configure 'Microsoft Si su organizacin usa tiempo de sesin Para implementar la configuracin recomendada, configure el
network server: para usuarios, entonces tiene sentido siguiente Group Polity en 1:
Disconnect clients when habilitar esta directiva de configuracin. De
logon hours expire' en lo contrario, los usuarios que no deben
'Enabled' tener acceso a recursos de la red fuera de
27
Tema:
sus horas de inicio de sesin pueden server: Disconnect clients when logon hours expire
seguir utilizando esos recursos con
sesiones que se establecieron durante las
horas permitidas.
Esta configuracin de directiva determina la Para implementar la configuracin recomendada, configure el
edad mxima permitida para una siguiente Group Polity en 30:
contrasea. De forma predeterminada, los
miembros de dominio cambian
Configure 'Domain automticamente sus contraseas de
Maximum machine account password age
member: Maximum dominio cada 30 das. Si aumenta este
machine account password intervalo de forma significativa o se
age' en '30' establece en 0 para que los equipos no
cambien sus contraseas, un atacante
tendra ms tiempo para llevar a cabo un
ataque de fuerza bruta contra una de las
cuentas de equipo.
Configure 'Network Las sesiones nulas son una debilidad que
access: Restrict puede ser explotada a travs de recursos
anonymous access to compartidos (incluyendo los recursos Computer Configuration\Windows Settings\Security
Named Pipes and Shares' compartidos por defecto) en los equipos de Settings\Local Policies\Security Options\Network access:
en 'Enabled' su entorno. Restrict anonymous access to Named Pipes and Shares
siguiente Group Polity en 1
Configure 'User Account
Los cuadros de dilogo de elevacin de Computer Configuration\Windows Settings\Security
Control: Switch to the
privilegios pueden ser falsificados, haciendo Settings\Local Policies\Security Options\User Account
secure desktop when
que los usuarios revelen sus contraseas a Control: Switch to the secure desktop when prompting for
prompting for elevation'
un software malicioso. elevation
en 'Enabled'
Configure 'MSS: Un atacante podra utilizar paquetes Para implementar la configuracin recomendada, configure el
(DisableIPSourceRouting) enrutados en el origen para ocultar su siguiente Group Polity en 2:
IP source routing identidad y ubicacin. El enrutamiento de Computer Configuration\Windows Settings\Security
protection level (protects origen permite a un equipo que enva un Settings\Local Policies\Security Options\MSS:
against packet spoofing)' paquete especificar la ruta que el paquete (DisableIPSourceRouting) IP source routing protection level
28
Tema:
en 'Highest protection, toma. (protects against packet spoofing)
source routing is
completely disabled'
Cuando un equipo se une a un dominio, se Para implementar la configuracin recomendada, configure el
crea una cuenta de equipo. Despus de que siguiente Group Polity en 1:
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
Digitally sign secure channel data (when possible)
para este dominio cada vez que se reinicia.
Las solicitudes que se envan en el canal
seguro se autentican - y la informacin
confidencial, como contraseas estn
cifradas - pero el canal no est
Configure 'Domain
comprobando la integridad, y no toda la
member: Digitally sign
informacin est cifrada. Si un equipo est
secure channel data (when
configurado para siempre cifrar o firmar
possible)' en 'Enabled'
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal
seguro, el controlador de dominio y el
equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
La propiedad intelectual, la informacin de Para implementar la configuracin recomendada, configure el
identificacin personal, y otros datos siguiente Group Polity en 0
confidenciales son normalmente
Configure 'User Account Computer Configuration\Windows Settings\Security
manipulados por aplicaciones en el equipo
Control: Only elevate Settings\Local Policies\Security Options\User Account
y requieren credenciales elevadas para
executables that are Control: Only elevate executables that are signed and
conseguir el acceso a la informacin. Los
signed and validated' en validated
usuarios y administradores intrnsecamente
'Disabled'
confan en aplicaciones que usan estas
fuentes de informacin y proporcionan sus
credenciales. Si una de estas aplicaciones,
29
Tema:
se sustituye por una aplicacin falsa que
parece idntica a la aplicacin de confianza
podran verse comprometidas las
credenciales administrativas del usuario
Configure 'System siguiente Group Polity en 1:
Las directivas de restriccin de software
settings: Use Certificate Computer Configuration\Windows Settings\Security
ayudan a proteger a los usuarios y las
Rules on Windows Settings\Local Policies\Security Options\System settings: Use
computadoras, ya que pueden impedir la
Executables for Software Certificate Rules on Windows Executables for Software
ejecucin de cdigo no autorizado, tales
Restriction Policies' en Restriction Policies
como virus y troyanos.
'Enabled'

Si habilita esta directiva, el servidor puede siguiente Group Polity en 0:
Configure 'Microsoft transmitir las contraseas en texto plano a
network client: Send travs de la red a otros equipos que Computer Configuration\Windows Settings\Security
unencrypted password en ofrecen servicios SMB. Estos otros equipos Settings\Local Policies\Security Options\Microsoft network
third-party SMB servers' podran no utilizar cualquiera de los client: Send unencrypted password to third-party SMB
to 'Disabled' mecanismos de seguridad SMB que se servers
incluyen con Windows Server 2003.
Esta configuracin determina la fortaleza Para implementar la configuracin recomendada, configure el

de la DACL predeterminada para los siguiente Group Polity en
objetos. Windows Server 2003 mantiene
una lista global de los recursos informticos
compartidos para que los objetos se
Configure 'System
pueden localizar y compartir entre
objects: Strengthen
procesos. Cada tipo de objeto se crea con
default permissions of
una DACL predeterminada que especifica
internal system objects
quin puede acceder a los objetos y con
(e.g. Symbolic Links)' en
qu permisos. Si habilita esta
'Enabled'
configuracin, la configuracin
predeterminada DACL se fortalece porque
los usuarios no administradores se les
permite leer objetos compartidos pero no
modificar objetos compartidos que no
30
Tema:
fueron creados por ellos.
Settings\Local Policies\Security Options\System objects:
Strengthen default permissions of internal system objects
(e.g. Symbolic Links)

Un usuario no autorizado podra listar
Configure 'Network siguiente Group Polity en 1:
annimamente los nombres de cuenta y los
access: Do not allow
recursos compartidos y utilizar la Computer Configuration\Windows Settings\Security
anonymous enumeration
informacin para tratar de adivinar las Settings\Local Policies\Security Options\Network access: Do
of SAM accounts and
contraseas o realizar ataques de not allow anonymous enumeration of SAM accounts and
shares' en 'Enabled'
ingeniera social. shares
Configure 'User Account
Control: Virtualize file and Esta configuracin reduce la vulnerabilidad Computer Configuration\Windows Settings\Security
registry write failures to al garantizar que aplicaciones legacy slo Settings\Local Policies\Security Options\User Account
per-user locations' en escriben datos en lugares permitidos. Control: Virtualize file and registry write failures to per-user
'Enabled' locations
Los usuarios a veces se olvidan de cerrar Para implementar la configuracin recomendada, configure el
sus puestos de trabajo cuando estn lejos siguiente Group Polity en 1:
de ellos, lo que aumenta la posibilidad de
que un usuario maliciosos pueda acceder a
Configure 'Interactive Settings\Local Policies\Security Options\Interactive logon:
sus equipos. Si las tarjetas inteligentes se
logon: Smart card removal Smart card removal behavior
utilizan para la autenticacin, el equipo
behavior' en 'Lock
automticamente debera bloquearse
Workstation'
cuando se retira la tarjeta para asegurarse
de que slo el usuario con la tarjeta
inteligente est accediendo a recursos
usando esas credenciales.
31
Tema:
El perodo de gracia predeterminado Para implementar la configuracin recomendada, configure el
permitido para el movimiento del usuario siguiente Group Polity en 0:
antes de que el bloqueo del protector de
pantalla surta efecto es de cinco segundos.
Configure 'MSS: Settings\Local Policies\Security Options\MSS:
Si deja la configuracin del perodo de
(ScreenSaverGracePeriod) (ScreenSaverGracePeriod) The time in seconds before the
gracia con el valor predeterminado, el
The time in seconds screen saver grace period expires (0 recommended)
equipo es vulnerable a un posible ataque
before the screen saver
de alguien que podra acercarse a la
grace period expires (0
consola y tratar de iniciar sesin en el
recommended)' en '0'
equipo antes que el bloqueo entre en vigor.
Una entrada en el registro se puede hacer
para ajustar la longitud del perodo de
gracia.
Microsoft desarroll esta funcin para que Para implementar la configuracin recomendada, configure el
sea ms fcil para los usuarios con ciertos siguiente Group Polity en 0:
tipos de discapacidades fsicas iniciar sesin
en equipos que ejecutan Windows. Si no se
Settings\Local Policies\Security Options\Interactive logon: Do
les exige a los usuarios presionar CTRL +
not require CTRL+ALT+DEL
ALT + SUPR, son susceptibles a los ataques
que intentan interceptar sus contraseas.
Configure 'Interactive Si se requiere CTRL + ALT + SUPR antes
logon: Do not require de inicio de sesin, contraseas de usuario
CTRL+ALT+DEL' en se comunican por medio de una ruta de
'Disabled' confianza. Un atacante podra instalar un
programa caballo de Troya que se ve como
el cuadro de dilogo de inicio de sesin
estndar de Windows y capturar la
contrasea del usuario. El atacante podra
entonces iniciar una sesin en la cuenta
comprometida con el mismo nivel de
privilegio que tiene el usuario.
Puede ser apropiado en algunas Para implementar la configuracin recomendada, configure el
Configure 'Devices:
organizaciones para permitir que los siguiente Group Polity en 1:
Prevent users from
usuarios instalen controladores de
installing printer drivers' Computer Configuration\Windows Settings\Security
impresora en sus propios puestos de
en 'Enabled' Settings\Local Policies\Security Options\Devices: Prevent
trabajo. Sin embargo, usted debe permitir
32
Tema:
que slo los administradores y no usuarios users from installing printer drivers
lo hagan en los servidores, ya que la
instalacin del controlador de impresora en
el servidor puede no intencionalmente
hacer que el equipo se vuelva menos
estable. Un usuario malintencionado podra
instalar controladores de impresora
inapropiadas en un intento deliberado de
daar el equipo o un usuario podra instalar
accidentalmente software malicioso que se
presenta como un controlador de
impresora.
La entrada de registro SafeDllSearchMode Para implementar la configuracin recomendada, configure el
fue adicionada en la llave de registro siguiente Group Polity en 1:
template HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Session
Manager\. La entrada de registro aparece:
(SafeDllSearchMode) Enable Safe DLL search mode
Configure 'MSS: (SafeDllSearchMode) Enable Safe DLL
(recommended)
(SafeDllSearchMode) search mode (recomendado).
Enable Safe DLL search Si un usuario ejecuta sin saberlo cdigo
mode (recommended)' en hostil que fue empaquetado con archivos
'Enabled' adicionales que incluyen versiones
modificadas de DLL del sistema, el cdigo
hostil podra cargar sus propias versiones
de los archivos DLL y aumentar
potencialmente el tipo y el grado de dao
puede hacer que el cdigo.
Si configura un equipo para inicio de sesin Para implementar la configuracin recomendada, configure el
automtico, cualquier persona que pueda siguiente Group Polity en 0:
Configure 'MSS: acceder fsicamente a la computadora
(AutoAdminLogon) Enable tambin puede tener acceso a todo lo que
Automatic Logon (not est en el equipo, incluyendo cualquier red
(AutoAdminLogon) Enable Automatic Logon (not
recommended)' en o redes que el equipo est conectado.
recommended)
'Disabled' Adems, si habilita el inicio de sesin
automtico, la contrasea se almacena en
el registro en texto plano. La clave
33
Tema:
especfica del Registro que almacena este
valor puede leer remotamente el grupo
Usuarios autenticados. Como resultado,
esta entrada es apropiada slo si el equipo
est asegurado fsicamente y si se asegura
de que los usuarios no confiables no
pueden ver de forma remota el registro.
El secuestro de sesin utiliza herramientas Para implementar la configuracin recomendada, configure el
que permiten a los atacantes obtener siguiente Group Polity en 1:
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesin en curso. Los atacantes pueden
client: Digitally sign communications (always)
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el trfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Configure 'Microsoft
Alternativamente, el atacante podra
network client: Digitally
hacerse pasar por el servidor o cliente
sign communications
despus de una autenticacin legtima y
(always)' en 'Enabled'
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticacin, la
transmisin de datos no tendr lugar.
Informacin importante que se conserva en Para implementar la configuracin recomendada, configure el
la memoria real puede ser escrita siguiente Group Polity en 0:
peridicamente al archivo de paginacin
Configure 'Shutdown: Computer Configuration\Windows Settings\Security
para ayudar a las funciones de multitarea
Clear virtual memory Settings\Local Policies\Security Options\Shutdown: Clear
de Windows Server 2003. Un atacante que
pagefile' en 'Disabled' virtual memory pagefile
tenga acceso fsico a un servidor que se ha
cerrado podra ver el contenido del archivo
de paginacin. El atacante podra mover el
34
Tema:
volumen del sistema en un equipo diferente
y luego analizar el contenido del archivo de
paginacin. Aunque este proceso es lento,
podra exponer los datos que se almacenan
en cach de la memoria de acceso aleatorio
(RAM) para el archivo de paginacin.
Precaucin: Un atacante que tenga acceso
fsico al servidor podra pasar por alto esta
contramedida simplemente desconectando
el servidor de la fuente de alimentacin.
El registro contiene informacin de Para implementar la configuracin recomendada, configure el
configuracin del equipo sensible que siguiente Group Polity en
podra ser utilizada por un atacante para
System\CurrentControlSet\Control\Print\Printers
facilitar las actividades no autorizadas. El
System\CurrentControlSet\Services\Eventlog
hecho de que las ACL predeterminadas
Configure 'Network Software\Microsoft\OLAP Server Software\Microsoft\Windows
asignadas a lo largo del registro son
access: Remotely NT\CurrentVersion\Print Software\Microsoft\Windows
bastante restrictivas y ayudan a proteger el
accessible registry paths NT\CurrentVersion\Windows
registro de acceso de usuarios no
and sub-paths' en System\CurrentControlSet\Control\ContentIndex
autorizados reduce el riesgo de un ataque
'System\CurrentControlSe System\CurrentControlSet\Control\Terminal Server
de ese tipo.
t\Control\Print\Printers System\CurrentControlSet\Control\Terminal
System\CurrentControlSet Server\UserConfig
Nota: Herramientas de administracin
\Services\Eventlog System\CurrentControlSet\Control\Terminal
remota como el Microsoft Baseline Security
Software\Microsoft\OLAP Server\DefaultUserConfiguration
Analyzer y Microsoft Systems Management
Server Software\Microsoft\Windows NT\CurrentVersion\Perflib
Server requieren acceso remoto al Registro
Software\Microsoft\Windo System\CurrentControlSet\Services\SysmonLog.
para controlar y gestionar correctamente
ws
dichos equipos. Si quita las rutas de
NT\CurrentVersion\Print
registro por defecto de la lista de los
Sof Computer Configuration\Windows Settings\Security
accesibles, tales herramientas de
administracin remota pueden fallar. Nota:
Remotely accessible registry paths and sub-paths
Si desea permitir el acceso remoto,
tambin debe habilitar el servicio de
registro remoto.
Configure 'Network Un usuario no autorizado podra listar Para implementar la configuracin recomendada, configure el
access: Do not allow annimamente los nombres de cuenta y siguiente Group Polity en 1:
anonymous enumeration utilizar la informacin para realizar ataques
35
Tema:
of SAM accounts' to de ingeniera social o intentar adivinar las Computer Configuration\Windows Settings\Security
'Enabled' contraseas. (Los ataques de ingeniera Settings\Local Policies\Security Options\Network access: Do
social tratan de engaar a los usuarios de not allow anonymous enumeration of SAM accounts
alguna manera para obtener contraseas o
algn tipo de informacin de seguridad.)
Los usuarios que pueden acceder a la Para implementar la configuracin recomendada, configure el
consola localmente podran apagar el siguiente Group Polity en 0:
equipo. Los atacantes tambin podran
Configure 'Shutdown: Computer Configuration\Windows Settings\Security
tener acceso a la consola local y reiniciar el
Allow system to be shut Settings\Local Policies\Security Options\Shutdown: Allow
servidor, lo que causara una condicin
down without having to system to be shut down without having to log on
temporal Denegacin del servicio. Los
log on' en 'Disabled'
atacantes tambin podran apagar el
servidor y dejar todas sus aplicaciones y
servicios no disponibles.
Antes de la introduccin de las Para implementar la configuracin recomendada, configure el
subcategoras de auditora en Windows siguiente Group Polity en 1:
Configure 'Audit: Force
Vista, era difcil hacer un seguimiento de
audit policy subcategory Computer Configuration\Windows Settings\Security
eventos a un nivel por sistema o por
settings (Windows Vista or Settings\Local Policies\Security Options\Audit: Force audit
usuario. Las categoras de eventos creadas
later) to override audit policy subcategory settings (Windows Vista or later) to
eran demasiado grandes y almacenaban
policy category settings' override audit policy category settings
eventos, de tal forma que la informacin
en 'Enabled' (
clave que necesitaba ser auditada era difcil
de encontrar.
Un usuario no autorizado podra listar Para implementar la configuracin recomendada, configure el
Configure 'Network annimamente los nombres de cuenta y los siguiente Group Polity en 0:
access: Let Everyone recursos compartidos y utilizar la
permissions apply en informacin para tratar de adivinar las
Settings\Local Policies\Security Options\Network access: Let
anonymous users' to contraseas, realizar ataques de ingeniera
Everyone permissions apply to anonymous users
'Disabled' social, o lanzar ataques de denegacin de
servicio.
Algunos programas de software malicioso Para implementar la configuracin recomendada, configure el
Configure 'User Account intentarn instalarse despus de haber siguiente Group Polity en 1:
Control: Detect application recibido el permiso para ejecutarse. Por
installations and prompt ejemplo, el software malicioso con un shell
for elevation' en 'Enabled' de aplicacin de confianza. El usuario
Control: Detect application installations and prompt for
puede haber dado permiso para que el
36
Tema:
programa se ejecute porque el programa elevation
es de confianza, pero si luego se les solicita
la instalacin de un componente
desconocido esto proporciona otra forma
de atrapar el software antes de que pueda
hacer dao.
El secuestro de sesin utiliza herramientas Para implementar la configuracin recomendada, configure el
que permiten a los atacantes obtener siguiente Group Polity en 1:
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesin en curso. Los atacantes pueden
client: Digitally sign communications (if server agrees)
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el trfico y reenviarlo de forma que el
Configure 'Microsoft servidor realice acciones no deseadas.
network client: Digitally Alternativamente, el atacante podra
sign communications (if hacerse pasar por el servidor o cliente
server agrees)' en despus de una autenticacin legtima y
'Enabled' obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticacin, la
transmisin de datos no tendr lugar.
El trfico de red sin firmar es susceptible a Para implementar la configuracin recomendada, configure el
ataques man-in-the-middle en el que un siguiente Group Polity en 1:
intruso captura los paquetes entre cliente y
Configure 'Network Computer Configuration\Windows Settings\Security
el servidor, los modifica y, a continuacin,
security: LDAP client Settings\Local Policies\Security Options\Network security:
los reenva al servidor. Para un servidor
signing requirements' en LDAP client signing requirements
LDAP, esta susceptibilidad significa que un
'Negotiate signing'
atacante podra hacer que un servidor tome
decisiones que se basan en datos falsos o
alterados de las consultas LDAP. Para
37
Tema:
disminuir este riesgo en su red, puede
implementar fuertes medidas de seguridad
fsica para proteger la infraestructura de
red. Tambin, puede lograr que cualquier
tipo de ataques man-in-the-middle sea
extremadamente difcil si se requiere
firmas digitales en todos los paquetes de
red por medio de encabezados de
autenticacin de IPsec.
Nota: Si configura el servidor para requerir
firmas LDAP tambin debe configurar el
cliente. Si no lo configura el cliente no va a
ser capaz de comunicarse con el servidor,
lo que podra causar que muchas fallen,
incluyendo la autenticacin de usuarios, la
directiva de grupo, y los scripts de inicio de
sesin.
Un atacante con acceso a la consola (por Para implementar la configuracin recomendada, configure el
ejemplo, alguien con acceso fsico o alguien siguiente Group Polity en 1:
que es capaz de conectar con el servidor a
travs de Servicios de Terminal Server)
Configure 'Interactive Settings\Local Policies\Security Options\Interactive logon: Do
puede ver el nombre del ltimo usuario que
logon: Do not display last not display last user name
inici sesin en el servidor. El atacante
user name' en 'Enabled'
podra intentar adivinar la contrasea,
utilizar un diccionario, o utilizar un ataque
de fuerza bruta para tratar de iniciar la
sesin.
El archivo SAM puede ser objetivo de los Para implementar la configuracin recomendada, configure el
atacantes que buscan acceso a los nombres siguiente Group Polity en 1:
Configure 'Network de usuario y los hashes de contraseas.
security: Do not store LAN Estos ataques utilizan herramientas
Settings\Local Policies\Security Options\Network security: Do
Manager hash value on especiales para descifrar contraseas, que
not store LAN Manager hash value on next password change
next password change' en luego se pueden utilizar para suplantar a
'Enabled' los usuarios y tener acceso a recursos de la
red. Estos tipos de ataques no sern
prevenidos si se habilita esta directiva,
38
Tema:
pero ser mucho ms difcil que este tipo
de ataques tengan xito.
Se recomienda que las contraseas de Para implementar la configuracin recomendada, configure el
usuario sean configuradas para expirar siguiente Group Polity en 14:
Configure 'Interactive
peridicamente. Los usuarios tendrn que
logon: Prompt user to Computer Configuration\Windows Settings\Security
ser advertidos de que sus contraseas van
change password before Settings\Local Policies\Security Options\Interactive logon:
a expirar o de lo contrario
expiration' en '14' Prompt user to change password before expiration
inadvertidamente se cerrar la sesin del
equipo cuando expiren sus contraseas.
Las claves de sesin que se utilizan para Para implementar la configuracin recomendada, configure el
establecer comunicaciones de canal seguro siguiente Group Polity en 1:
entre los controladores de dominio y
equipos miembro son mucho ms fuertes
en Windows 2000 de lo que eran en los
Require strong (Windows 2000 or later) session key
anteriores sistemas operativos de
Microsoft. Siempre que sea posible, usted
debe tomar ventaja de estas claves de
sesin ms fuertes para ayudar a proteger
las comunicaciones de canal seguro de los
ataques que intentan secuestrar sesiones
Configure 'Domain de red y escuchas. (El espionaje es una
member: Require strong forma de piratera en el que los datos de la
(Windows 2000 or later) red se leen o se alteran en trnsito. Los
session key' en 'Enabled' datos pueden ser modificados para ocultar
o cambiar el remitente, o redirigidos.)
Nota: Los equipos que tengan esta
directiva habilitada no podrn unirse a
dominios Windows NT 4.0, y establecer
relaciones de confianzas entre dominios de
Active Directory y dominios del tipo NT.
Adems, los equipos que no son
compatibles con esta directiva, no ser
capaz de unirse a los dominios en los que
los controladores de dominio tienen esta
directiva habilitada.
Configure 'Microsoft Cada sesin SMB consume recursos del Para implementar la configuracin recomendada, configure el
39
Tema:
network server: Amount servidor, y numerosas sesiones nulas siguiente Group Polity en 15.
of idle time required ralentizarn el servidor o, posiblemente,
before suspending session'harn que falle. Un atacante podra
en '15' establecer repetidamente sesiones SMB
server: Amount of idle time required before suspending
hasta que los servicios SMB del servidor se
session
vuelvan lentos o no respondan.
Nota: Habr poco impacto porque las
sesiones SMB sern restablecidas
automticamente si el cliente se reanuda la
actividad.
El nmero que se asigna a esta directiva Para implementar la configuracin recomendada, configure el
indica el nmero de usuarios cuya siguiente Group Polity en 0:
informacin de inicio de sesin el servidor
almacenar en cach localmente. Si el
Settings\Local Policies\Security Options\Interactive logon:
nmero se establece en 10, entonces el
Number of previous logons to cache (in case domain
servidor har cache de la informacin de
controller is not available)
inicio de sesin para 10 usuarios. Cuando
un undcimo usuario inicia sesin en el
Configure 'Interactive equipo, el servidor sobrescribe la sesin de
logon: Number of previous inicio de sesin en cach ms antigua. Los
logons to cache (in case usuarios que accedan a la consola del
domain controller is not servidor tendrn sus credenciales de inicio
available)' en '0' de sesin en cach en el servidor. Un
atacante que sea capaz de acceder al
sistema de archivos del servidor podra
encontrar esta informacin en cach y
utilizar un ataque de fuerza bruta para
intentar determinar las claves de los
usuarios. Para mitigar este tipo de ataques,
Windows cifra la informacin y oscurece su
ubicacin fsica.
Configure 'Interactive Por defecto, un computador almacena en la Para implementar la configuracin recomendada, configure el
logon: Require Domain memoria las credenciales de los usuarios siguiente Group Polity en 1:
Controller authentication que se autentican localmente. El equipo
to unlock workstation' en utiliza estas credenciales almacenadas en
Settings\Local Policies\Security Options\Interactive logon:
'Enabled' cach para autenticar a cualquiera que
40
Tema:
intente desbloquear la consola. Cuando se Require Domain Controller authentication to unlock
utilizan credenciales almacenadas en workstation
cach, los cambios que se han realizado
recientemente en la cuenta - como las
asignaciones de derechos de usuario,
bloqueo de cuentas, o la cuenta de ser
discapacitado - no se consideran o se
aplican despus de la cuenta se autentica.
Los privilegios de usuario no se actualizan,
y (ms importante) las cuentas
deshabilitadas son todava capaces de
desbloquear la consola del equipo.
Uno de los riesgos de la funcin de control Para implementar la configuracin recomendada, configure el
de cuentas de usuario introducido con siguiente Group Polity en 3:
Windows Vista que se est tratando de
mitigar es la de programas maliciosos que
Configure 'User Account se ejecutan con credenciales elevadas sin
Control: Behavior of the elevation prompt for standard users
Control: Behavior of the que el usuario o administrador sea
elevation prompt for consciente de su actividad. Esta
standard users' en 'Prompt configuracin aumenta la conciencia para el
for credentials' usuario de que un programa requiere el
uso de operaciones de privilegios elevados
y requiere que el usuario sea capaz de
proporcionar credenciales administrativas
para que el programa se ejecute.
UIAccess Integrity permite que una Para implementar la configuracin recomendada, configure el
aplicacin de interfaz de usuario desve las siguiente Group Polity en 1:
restricciones de Aislamiento de privilegios
Configure 'User Account (UIPI) cuando una aplicacin est elevada
Control: Only elevate en los privilegios de usuario estndar a
Control: Only elevate UIAccess applications that are installed
UIAccess applications that administrador. Esto es necesario para
in secure locations
are installed in secure apoyar las funciones de accesibilidad como
locations' en 'Enabled' lectores de pantalla que estn
transmitiendo las interfaces de usuario a
formas alternativas. Un proceso que es
iniciado con los derechos UIAccess tiene las
41
Tema:
siguientes capacidades: Configurar la
ventana de primer plano. Utilizar cualquier
ventana de aplicacin usando la funcin
SendInput. Leer la entrada para todos los
niveles de integridad utilizando hooks de
bajo nivel, entradas row, GetKeyState,
GetAsyncKeyState y GetKeyboardInput.
Configurar hooks journal. Usar
AttachThreadInput para adjuntar un hilo a
una cola de entrada con la integridad ms
alta.
Nota: Si la aplicacin que solicita UIAccess
coincide con la configuracin de
requerimientos de UIAccess, Windows
Vista iniciar la aplicacin con la capacidad
de pasar por alto la mayor parte de las
UIPI. Si la solicitud no cumple con las
restricciones de seguridad, la aplicacin se
iniciar sin derechos UIAccess y slo podr
interactuar con aplicaciones en el mismo o
menor nivel de privilegio.
El registro es una base de datos que Para implementar la configuracin recomendada, configure el
contiene informacin de configuracin del siguiente Group Polity en
Configure 'Network equipo, y gran parte de la informacin es System\CurrentControlSet\Control\ProductOptions
access: Remotely confidencial. Un atacante podra utilizar System\CurrentControlSet\Control\Server Applications
accessible registry paths' esta informacin para facilitar actividades Software\Microsoft\Windows NT\CurrentVersion.
en no autorizadas. Para reducir el riesgo de un
'System\CurrentControlSe ataque de ese tipo, las ACL adecuadas se
t\Control\ProductOptions asignan en todo el registro para ayudar a
Remotely accessible registry paths
System\CurrentControlSet protegerlo contra el acceso de usuarios no
\Control\Server autorizados.
Applications Nota: Herramientas de administracin
Software\Microsoft\Windo remota como el Microsoft Baseline Security
ws NT\CurrentVersion' Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
42
Tema:
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles, tales herramientas de
administracin remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
tambin debe habilitar el servicio de
registro remoto.
Si no es posible registrar los eventos en el Para implementar la configuracin recomendada, configure el
log de eventos, informacin y evidencia siguiente Group Polity en 0:
importante para la solucin de problemas
Configure 'Audit: Shut podra no estar disponibles para su revisin
Settings\Local Policies\Security Options\Audit: Shut down
down system immediately despus de un incidente de seguridad.
system immediately if unable to log security audits
if unable to log security Adems, un atacante podra
audits' en 'Disabled' potencialmente generar un gran volumen
de eventos de registro de seguridad para
forzar intencionadamente una cada del
sistema.
Es muy peligroso habilitar esta Para implementar la configuracin recomendada, configure el
Configure 'Network configuracin. Cualquier recurso siguiente Group Polity en 0:
access: Shares that can compartido que se enumere puede ser
be accessed anonymously' accedido por cualquier usuario de la red, lo
en '' que podra dar lugar a la exposicin o la
Shares that can be accessed anonymously
corrupcin de los datos sensibles.
Tema:
1.1.4.2. Configuracin de derechos de usuario
Modificando la integridad del label de un
siguiente Group Polity en no one:
objeto propiedad de otro usuario, un
Configure 'Modify an
usuario malicioso podra causar que este
object label' en 'No One' Computer Configuration\Windows Settings\Security
ltimo ejectuara cdigo con un nivel ms
Settings\Local Policies\User Rights Assignment\Modify an
alto de privilegio que el esperado.
object label
Configure 'Back up files Si un usuario puede realizar copias de Para implementar la configuracin recomendada, configure el
and directories' en seguridad de datos desde su equipo siguiente Group Polity en Administrators:
43
Tema:
'Administrators' podran llevar la copia de seguridad a un Computer Configuration\Windows Settings\Security
equipo que no est en el dominio y en el Settings\Local Policies\User Rights Assignment\Back up files
que tengan privilegios administrativos y and directories
restaurarla. Podran tomar posesin de los
archivos y consultar los datos sin cifrar que
se encuentran dentro del grupo de
respaldo.
Esta configuracin de directiva determina
qu usuarios o procesos pueden generar
registros de auditora en el registro de
seguridad. Al configurar un derecho de
usuario en el SCM introduzca una lista de
cuentas delimitada por comas. Las cuentas
pueden ser locales o de Active Directory,
pueden ser grupos, usuarios o equipos.
siguiente Group Polity en Local Service, Network Service:
Configure Generate
security audits en Local Un atacante podra utilizar esta capacidad
Service, Network Service para crear un gran nmero de eventos de
Settings\Local Policies\User Rights Assignment\Generate
auditora, lo que hara ms difcil para un
security audits
administrador de sistemas localizar
cualquier actividad ilcita. Adems, si el
registro de eventos est configurado para
sobrescribir sucesos cuando sea necesario,
cualquier evidencia de actividades no
autorizadas puede sobrescribirse por un
gran nmero de eventos no relacionados.
Los usuarios que pueden cambiar el
tamao de del archivo de paginacin
siguiente Group Polity en Administrators:
Configure 'Create a podran hacer que sea muy pequeo o
pagefile' en mover el archivo a un volumen de
'Administrators' almacenamiento muy fragmentado, lo que
Settings\Local Policies\User Rights Assignment\Create a
podra causar reduccin en el rendimiento
pagefile
del equipo
Configure 'Modify firmware Esta directiva de configuracin permite a Para implementar la configuracin recomendada, configure el
environment values' en los usuarios configurar variables de entorno siguiente Group Polity en Administrators:
'Administrators' del sistema que afectan la configuracin de
44
Tema:
hardware. Computer Configuration\Windows Settings\Security
Cualquier usuario que tenga activo el Settings\Local Policies\User Rights Assignment\Modify
permiso Modify firmware environment firmware environment values
puede configurar los ajustes de un
componente de hardware para que deje de
funcionar, lo que podra conducir a la
corrupcin de datos o una condicin de
denegacin de servicio.
Cualquier usuario que tenga privilegios de Para implementar la configuracin recomendada, configure el
Configure 'Force shutdown apagar un servidor podra causar una siguiente Group Polity en Administrators:
from a remote system' en condicin de denegacin de servicio. Por lo Computer Configuration\Windows Settings\Security
'Administrators' tanto, este derecho debe ser restringido a Settings\Local Policies\User Rights Assignment\Force
muy pocos usuarios. shutdown from a remote system
Esta poltica permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Configure 'Access this Object Model Plus (COM+). Para implementar la configuracin recomendada, configure el
computer from the siguiente Group Polity en Administrators, Authenticated
network' en Esta condicin puede tener un mayor nivel Users, ENTERPRISE DOMAIN CONTROLLERS.
'Administrators, de riesgo para equipos compatibles
Authenticated Users, Windows NT 4.0 o Windows 2000, porque Computer Configuration\Windows Settings\Security
ENTERPRISE DOMAIN los permisos predeterminados para estos Settings\Local Policies\User Rights Assignment\Access this
CONTROLLERS' sistemas operativos no son tan restrictivos computer from the network
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Configure 'Allow log on Esta poltica determina qu usuarios o Para implementar la configuracin recomendada, configure el
through Remote Desktop grupos tienen permiso para iniciar sesin a siguiente Group Polity en Administrators:
Services' en travs de Escritorio Remoto.
'Administrators' Cualquier cuenta con la opcin Permitir Computer Configuration\Windows Settings\Security
45
Tema:
conectarse a travs de Servicios de Settings\Local Policies\User Rights Assignment\Allow log on
Escritorio Remoto puede iniciar sesin en through Remote Desktop Services
la consola remota del servidor. Si no
restringe este permiso a los usuarios
legtimos que necesitan iniciar sesin en el
servidor, usuarios no autorizados podran
descargar y ejecutar software malicioso
para elevar sus privilegios.
Esta poltica determina qu usuarios y
grupos pueden cambiar la fecha y la hora
en el reloj interno del sistema.
Los usuarios que pueden cambiar la hora
en un equipo pueden causar varios Para implementar la configuracin recomendada, configure el
problemas. Los usuarios que tienen siguiente Group Polity en LOCAL SERVICE, Administrators:
Configure 'Change the
asignado este derecho de usuario pueden
system time' en 'LOCAL
afectar la apariencia de los registros de Computer Configuration\Windows Settings\Security
SERVICE, Administrators'
eventos. Esta vulnerabilidad es mucho ms Settings\Local Policies\User Rights Assignment\Change the
grave si un atacante es capaz de cambiar system time
la hora del sistema y luego se detiene el
servicio de hora de Windows o se configura
para sincronizar con un servidor de hora
que no es exacto.
Esta poltica permite a un usuario cambiar
la configuracin de Trusted for Delegation
en un objeto en Active Directory.
El mal uso del permiso Enable computer Para implementar la configuracin recomendada, configure el
Configure 'Enable and user accounts to be trusted for siguiente Group Polity en No One.
computer and user delegation podra permitir a un usuairo no
accounts to be trusted for autorizado suplantar a otros usuarios en la Computer Configuration\Windows Settings\Security
delegation' en 'No One' red. Un usuario podra explotar este Settings\Local Policies\User Rights Assignment\Enable
privilegio para ganar acceso a recursos de computer and user accounts to be trusted for delegation
red y hacer difcil determinar cual fue su
causa despus de un incidente de
seguridad.
Configure 'Lock pages in Esta configuracin de directiva permite a Para implementar la configuracin recomendada, configure el
memory' en 'No One' un proceso mantener los datos en la siguiente Group Polity en No One.
46
Tema:
memoria fsica, lo que impide que el
sistema pagine los datos en la memoria Computer Configuration\Windows Settings\Security
virtual en el disco. Settings\Local Policies\User Rights Assignment\Lock pages in
Los usuarios con el privilegio Bloquear memory
pginas en memoria podran asignar
memoria fsica a varios procesos, lo que
podra dejar poco o nada de RAM para
otros procesos y dar lugar a una condicin
de denegacin de servicio.
Esta configuracin de directiva especifica
que usuarios pueden agregar estaciones de
trabajo a un dominio especfico.
Este privilegio presenta una vulnerabilidad
moderada. Los usuarios con este derecho
pueden agregar un equipo que est
configurado de una manera que viola las Para implementar la configuracin recomendada, configure el
polticas de seguridad al dominio. Por siguiente Group Polity en Administrators.
Configure 'Add
ejemplo, si su organizacin no quiere que
workstations to domain'
los usuarios tengan privilegios de Computer Configuration\Windows Settings\Security
en 'Administrators'
administrador en sus equipos, un usuario Settings\Local Policies\User Rights Assignment\Add
podra instalar Windows en su equipo y workstations to domain
luego agregarlo al dominio. El usuario
podra conocer la contrasea de la cuenta
de administrador local, y podra iniciar la
sesin con esa cuenta y luego agregar su
cuenta de dominio al grupo local
Administradores.
Esta directiva impide a los usuarios
conexin a un equipo desde el otro lugar Para implementar la configuracin recomendada, configure el
en la red, lo que permitira a los usuarios siguiente Group Polity en Guests (additional entries also
Configure 'Deny access to acceder y, potencialmente, modificar datos acceptable as authorized per enterprise policy).
this computer from the de forma remota.
network' en 'Guests' Los usuarios que pueden iniciar sesin en Computer Configuration\Windows Settings\Security
el equipo a travs de la red pueden Settings\Local Policies\User Rights Assignment\Deny access
enumerar las listas de nombres de to this computer from the network
usuarios, nombres de grupos y recursos
47
Tema:
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a travs de la red y,
posiblemente, ver o modificar datos.
Nota: Si configura el permiso Deny access
to this computer from the network user
para otros grupos, podra limitar la
capacidad de los usuarios que estn
asignados a funciones administrativas
especficas en su entorno. Se debe
comprobar que las tareas delegadas no se
vern afectadas negativamente.
Esta directiva impide a los usuarios
conexin a un equipo desde el otro lugar
en la red, lo que permitira a los usuarios
acceder y, potencialmente, modificar datos Para implementar la configuracin recomendada, configure el
de forma remota. siguiente Group Polity en Guests (additional entries also
Configure 'Deny access to Los usuarios que pueden iniciar sesin en acceptable as authorized per enterprise policy).
this computer from the el equipo a travs de la red podran
network' en 'Guests' enumerar las listas de nombres de Computer Configuration\Windows Settings\Security
usuarios, nombres de grupos y recursos Settings\Local Policies\User Rights Assignment\Deny access
compartidos. Los usuarios con permiso de to this computer from the network
acceso a carpetas y archivos compartidos
pueden conectarse a travs de en la red y,
posiblemente, ver o modificar datos.
Esta directiva permite a un proceso o
servicio iniciar otro servicio o proceso con
Configure 'Replace a siguiente Group Polity en Local Service, Network Service:
un token de acceso de seguridad diferente,
process level token' en
el cual puede ser usado para modificar el
'Local Service, Network Computer Configuration\Windows Settings\Security
token de acceso de seguridad de un
Service' Settings\Local Policies\User Rights Assignment\Replace a
subproceso y resultar en un escalamiento
process level token
de privilegios.
Configure 'Bypass traverse Esta directiva permite a los usuarios que no Para implementar la configuracin recomendada, configure el
checking' en tienen el permiso Traverse Folder access siguiente Group Polity en Administrators, Authenticated
'Administrators, pasar a travs de carpetas cuando navegan Users, Backup Operators, Local Service, Network Service.
Authenticated Users, una ruta en el sistema de archivos NTFS o
48
Tema:
Backup Operators, Local el registro. El funcionamiento de esta Computer Configuration\Windows Settings\Security
Service, Network Service' caracterstica representa un riesgo bajo Settings\Local Policies\User Rights Assignment\Bypass
para el sistema que puede ser mitigado con traverse checking
esta configuracin.
Esta directiva determina qu cuentas no
siguiente Group Polity en Guests.
podrn iniciar sesin en el equipo como un
Configure 'Deny log on as
trabajo por lotes. Un trabajo por lotes no
a batch job' en 'Guests' Computer Configuration\Windows Settings\Security
es un archivo por lotes (.bat), sino ms
Settings\Local Policies\User Rights Assignment\Deny log on
bien una instalacin de cola por lotes.
as a batch job
Esta directiva determina qu usuarios que
han iniciado sesin localmente en los
equipos de su entorno pueden apagar el
siguiente Group Polity en Administrators.
Configure 'Shut down the sistema operativo con el comando Shut
system' en Down.
'Administrators' La capacidad de apagar los controladores
Settings\Local Policies\User Rights Assignment\Shut down
de dominio debe limitarse a un nmero
the system
muy pequeo de administradores de
confianza.
Esta poltica permite a los usuarios que no
tienen el permiso Traverse Folder navegar
Configure 'Bypass traverse a travs de directorios cuando estn Para implementar la configuracin recomendada, configure el
checking' en buscando un objeto en el sistema de siguiente Group Polity en Administrators, Authenticated
'Administrators, archivos NTFS o en el registro. Users, Local Service, Network Service. Computer
Authenticated Users, Local El funcionamiento de esta caracterstica Configuration\Windows Settings\Security Settings\Local
Service, Network Service' representa un riesgo bajo para el sistema Policies\User Rights Assignment\Bypass traverse checking.
que puede ser mitigado con esta
configuracin.
Este privilegio determina qu cuentas de
usuario pueden aumentar o disminuir el Para implementar la configuracin recomendada, configure el
Configure 'Increase a tamao de un working set. siguiente Group Polity en Administrators, Local Service.
process working set' en Este derecho se concede a todos los
'Administrators, Local usuarios de forma predeterminada. Sin Computer Configuration\Windows Settings\Security
Service' embargo, aumentar el tamao del conjunto Settings\Local Policies\User Rights Assignment\Increase a
de trabajo para un proceso disminuye la process working set
cantidad de memoria fsica disponible para
49
Tema:
el resto del sistema. Podra ser posible que
un cdigo malicioso aumentara el tamao
de un working set de tal forma que podra
afectar seriamente al rendimiento del
sistema y causar una denegacin de
servicio.
Esta poltica permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Configure 'Access this siguiente Group Polity en Administrators, Authenticated
Esta condicin puede tener un mayor nivel
computer from the Users.
de riesgo para equipos compatibles
network' en
Windows NT 4.0 o Windows 2000, porque
'Administrators, Computer Configuration\Windows Settings\Security
los permisos predeterminados para estos
Authenticated Users' Settings\Local Policies\User Rights Assignment\Access this
sistemas operativos no son tan restrictivos
computer from the network
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta poltica permite a usuarios iniciar
sesin usando el servicio task scheduler. Para implementar la configuracin recomendada, configure el
Configure 'Log on as a
El funcionamiento de esta caracterstica siguiente Group Polity en Administrators. Computer
batch job' en
representa un riesgo bajo para el sistema Configuration\Windows Settings\Security Settings\Local
'Administrators'
que puede ser mitigado con esta Policies\User Rights Assignment\Log on as a batch job.
configuracin
Esta directiva determina qu usuarios Para implementar la configuracin recomendada, configure el
pueden iniciar sesin de forma interactiva siguiente Group Polity en Administrators.
Configure 'Allow log on en los equipos del entorno.
locally' en 'Administrators' Cualquier cuenta con el privilegio Allow log Computer Configuration\Windows Settings\Security
on locally user, podra iniciar sesin en la Settings\Local Policies\User Rights Assignment\Allow log on
consola del equipo. Si no se restringe este locally
50
Tema:
privilegio a los usuarios que realmente lo
requieren, usuarios no autorizados podran
descargar y ejecutar software malicioso
para elevar sus privilegios.
Tema:
1.1.4.3. Administracin de cuentas
Esta subcategora informa cada evento de
la gestin de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Si no se configuran los parmetros de
auditora, puede ser difcil o imposible Para implementar la configuracin recomendada, configure el
Configure 'Audit Policy: determinar lo que ocurri durante un siguiente Group Polity en Success and Failure.
Account Management: incidente de seguridad. Sin embargo, si la
Computer Account configuracin de auditora se configuran de Computer Configuration\Windows Settings\Security
Management' en 'Success manera que se generan eventos de todas Settings\Advanced Audit Policy Configuration\Audit
and Failure' las actividades del registro de seguridad se Policies\Account Management\Audit Policy: Account
llenar con datos difcil de usar. Management: Computer Account Management
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generacin de un
gran nmero de eventos para que se
sobrescriba la evidencia de su intrusin.
Esta subcategora informa cada evento de Para implementar la configuracin recomendada, configure el
Configure 'Audit Policy:
la gestin de cuenta de equipo, por siguiente Group Polity en Success.
Account Management:
ejemplo, cuando se crea una cuenta de
Computer Account
equipo, se modifica, se elimina, se cambia Computer Configuration\Windows Settings\Security
Management' en 'Success'
el nombre se deshabilita o se habilita. Settings\Advanced Audit Policy Configuration\Audit
51
Tema:
Si no se configuran los parmetros de Policies\Account Management\Audit Policy: Account
auditora, puede ser difcil o imposible Management: Computer Account Management
determinar lo que ocurri durante un
incidente de seguridad. Sin embargo, si la
configuracin de auditora se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenar con datos difcil de usar.

gestin del grupo de seguridad, por
ejemplo, cuando se crea un grupo de
seguridad, cambia o se elimina o cuando
un miembro se agrega o quita de un grupo
de seguridad.
Si no se configuran los parmetros de
auditora, puede ser difcil o imposible Para implementar la configuracin recomendada, configure el
Configure 'Audit Policy: determinar lo que ocurri durante un siguiente Group Polity en Success and Failure.
Account Management: incidente de seguridad. Sin embargo, si la
Security Group configuracin de auditora se configuran de Computer Configuration\Windows Settings\Security
Management' en 'Success manera que se generan eventos de todas Settings\Advanced Audit Policy Configuration\Audit
and Failure' las actividades del registro de seguridad se Policies\Account Management\Audit Policy: Account
llenar con datos difcil de usar. Management: Security Group Management
52
Tema:
la administracin de cuentas de usuario,
por ejemplo, cuando se crea una cuenta de Para implementar la configuracin recomendada, configure el
Configure 'Audit Policy: usuario, se cambia o suprime una cuenta siguiente Group Polity en Success and Failure.
Account Management: de usuario se cambia el nombre, se
User Account deshabilita o es habilitado, o se cambia la Computer Configuration\Windows Settings\Security
Management' en 'Success contrasea. Settings\Advanced Audit Policy Configuration\Audit
and Failure' Si no se configuran los parmetros de Policies\Account Management\Audit Policy: Account
auditora, puede ser difcil o imposible Management: User Account Management
incidente de seguridad.
Esta subcategora reporta cuando se
accede a un objeto de AD DS. Slo los
objetos con SACL provocan eventos de
siguiente Group Polity en Success and Failure.
Configure 'Audit Policy: DS auditora que se generen, y slo cuando se
Access: Directory Service accede a ellos de una manera que coincide
Access' en 'Success and con el SACL.
Settings\Advanced Audit Policy Configuration\Audit
Failure' Si no se configuran los parmetros de
Policies\DS Access\Audit Policy: DS Access: Directory Service
auditora, puede ser difcil o imposible
Access
Esta subcategora informa de los cambios
en los objetos del Servicio de dominio de
Active Directory (AD DS). Los tipos de Para implementar la configuracin recomendada, configure el
cambios que se reportan son crear, siguiente Group Polity en Success and Failure.
Configure 'Audit Policy: DS
modificar, mover, y las operaciones de
Access: Directory Service
deshacer la eliminacin que se realizan en Computer Configuration\Windows Settings\Security
Changes' en 'Success and
un objeto. Settings\Advanced Audit Policy Configuration\Audit
Failure'
Si no se configuran los parmetros de Policies\DS Access\Audit Policy: DS Access: Directory Service
auditora, puede ser difcil o imposible Changes
Configure 'Audit Policy: Esta subcategora reporta cuando una Para implementar la configuracin recomendada, configure el
Privilege Use: Sensitive cuenta de usuario o servicio utiliza un siguiente Group Polity en Success and Failure.
Privilege Use' en 'Success privilegio sensible. Un privilegio sensible
and Failure' incluye los siguientes derechos de usuario: Computer Configuration\Windows Settings\Security
53
Tema:
Actuar como parte del sistema operativo, Settings\Advanced Audit Policy Configuration\Audit
hacer copias de seguridad de archivos y Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive
directorios, crear un objeto Token, hacer Privilege Use
depuracin de programas, habilitar cuentas
de usuario y de equipo con confianza para
delegacin, generar auditoras de
seguridad, suplantar a un cliente despus
de la autenticacin, cargar y descargar
dispositivos, administrar registros de
auditora y seguridad, modificar valores de
entorno del firmware, sustituir un smbolo
de nivel de proceso, restaurar archivos y
directorios, y tomar posesin de archivos u
otros objetos.
Esta subcategora informa los cambios en Para implementar la configuracin recomendada, configure el
la poltica de auditora, incluyendo cambios siguiente Group Polity en Success and Failure:
Set 'Audit Policy: Policy
SACL.
Change: Audit Policy
Si no se configuran los parmetros de Computer Configuration\Windows Settings\Security
Change' en 'Success and
auditora, puede ser difcil o imposible Settings\Advanced Audit Policy Configuration\Audit
Failure'
determinar lo que ocurri durante un Policies\Policy Change\Audit Policy: Policy Change: Audit
incidente de seguridad. Policy Change
Esta subcategora informa los cambios en
el driver de Internet Protocol security
Set 'Audit Policy: System: (IPsec).
IPsec Driver' en 'Success Si no se configuran los parmetros de
and Failure' auditora, puede ser difcil o imposible
Policies\System\Audit Policy: System: IPsec Driver
Esta subcategora informa de los cambios
en el estado de seguridad del sistema,
Set 'Audit Policy: System: como por ejemplo cuando se inicia y se
Security State Change' en detiene el subsistema de seguridad.
'Success and Failure' Si no se configuran los parmetros de
Policies\System\Audit Policy: System: Security State Change
54
Tema:
Esta subcategora reporta la carga de
cdigo de extensin tal como paquetes de
Configure 'Audit Policy: autenticacin en el subsistema de
System: Security System seguridad.
Extension' en 'Success and Si no se configuran los parmetros de
Failure' auditora, puede ser difcil o imposible
Policies\System\Audit Policy: System: Security System
Extension
Esta subcategora informa sobre otros
eventos del sistema.
Si no se configuran los registros de Para implementar la configuracin recomendada, configure el
auditora, puede ser difcil o imposible siguiente Group Polity en No Auditing.
System: Other System
incidente de seguridad. Sin embargo, si la Computer Configuration\Windows Settings\Security
Events' en 'No Auditing'
configuracin de auditora se configura de Settings\Advanced Audit Policy Configuration\Audit
manera que se generan eventos de todas Policies\System\Audit Policy: System: Other System Events
las actividades el registro de seguridad se
llenar con datos difciles de usar.
Esta subcategora informa de los eventos
generados por RADIUS (IAS) y las Para implementar la configuracin recomendada, configure el
peticiones de acceso de usuario de Network siguiente Group Polity en No Auditing.
Access Protection (NAP). Estos eventos
Logon-Logoff: Network
pueden ser otorgar, denegar, descartar, Computer Configuration\Windows Settings\Security
Policy Server' en 'No
cuarentena, bloquear y desbloquear. Settings\Advanced Audit Policy Configuration\Audit
Auditing'
Auditar este tipo de eventos se traducir en Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Network
un alto volumen de registros en los Policy Server
servidores NPS y NIC.
Esta subcategora reporta cuando un
usuario intenta iniciar sesin en el sistema. Para implementar la configuracin recomendada, configure el
Si no se configuran los registros de siguiente Group Polity en Success and Failure.
Logon-Logoff: Logon' en
determinar lo que ocurri durante un Computer Configuration\Windows Settings\Security
'Success and Failure'
incidente de seguridad. Si no se configuran Settings\Advanced Audit Policy Configuration\Audit
los registros de auditora, puede ser difcil o Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon
imposible determinar lo que ocurri
55
Tema:
durante un incidente de seguridad.
Esta subcategora informa de los resultados

de las pruebas de validacin de
Configure 'Audit Policy: credenciales presentadas para una solicitud
Account Logon: Credential de inicio de sesin de cuenta de usuario.
Validation' en 'Success Si no se configuran los registros de
and Failure' auditora, puede ser difcil o imposible
Policies\Account Logon\Audit Policy: Account Logon:
Credential Validation
Esta subcategora reporta la creacin de un Para implementar la configuracin recomendada, configure el
proceso y el nombre del programa o el siguiente Group Polity en Success.
Configure 'Audit Policy: usuario que lo cre.
Detailed Tracking: Process Si no se configuran los registros de Computer Configuration\Windows Settings\Security
Creation' en 'Success' auditora, puede ser difcil o imposible Settings\Advanced Audit Policy Configuration\Audit
determinar lo que ocurri durante un Policies\Detailed Tracking\Audit Policy: Detailed Tracking:
incidente de seguridad. Process Creation
Tema:
1.1.4.4. Firewall de Windows con seguridad avanzada
Seleccione esta opcin para que el
Firewall de Windows con seguridad
avanzada realice visualizacin de
notificaciones al usuario cuando un
programa est bloqueado para recibir
Configure 'Windows conexiones entrantes.
Firewall: Domain: Display Algunas organizaciones pueden
a notification' en 'Yes preferir evitar generar alarmas
Settings\Windows Firewall with Advanced Security\Windows
(default)' cuando las reglas de firewall
Firewall with Advanced Security\Windows Firewall
bloquean algunos tipos de actividad
Properties\Domain Profile\Windows Firewall: Domain: Display a
de la red. Sin embargo, las
notification
notificaciones pueden ser tiles para
solucionar problemas de red
relacionados con el servidor de
56
Tema:
seguridad.
Esta configuracin controla si los
administradores locales pueden crear Para implementar la configuracin recomendada, configure el
reglas de seguridad de conexin que siguiente Group Polity en 1:
Configure 'Windows se aplican junto con las reglas de
Firewall: Domain: Apply seguridad de conexin configuradas Computer Configuration\Windows Settings\Security
local connection security por la directiva de grupo. Settings\Windows Firewall with Advanced Security\Windows
rules' en 'Yes (default)' Los usuarios con privilegios Firewall with Advanced Security\Windows Firewall
administrativos pueden crear reglas Properties\Domain Profile\Windows Firewall: Domain: Apply local
de firewall que exponen el sistema a connection security rules
ataques remotos.
Esta opcin controla la recepcin de siguiente Group Polity en 1
mensajes unicast de respuesta a
Configure 'Windows
mensajes salientes multicast o Computer Configuration\Windows Settings\Security
Firewall: Domain: Allow
broadcating. Un atacante podra Settings\Windows Firewall with Advanced Security\Windows
unicast response' en 'No'
responder con un mensaje multicas o Firewall with Advanced Security\Windows Firewall
broadcasting con cargas maliciosas. Properties\Domain Profile\Windows Firewall: Domain: Allow unicast
response
Seleccione Activado (recomendado)
Configure 'Windows
para que el Firewall de Windows con
Firewall: Domain: Firewall Computer Configuration\Windows Settings\Security
seguridad avanzada utilice la
state' en 'On Settings\Windows Firewall with Advanced Security\Windows
configuracin de este perfil para
(recommended)' Firewall with Advanced Security\Windows Firewall
filtrar el trfico de red.
Properties\Domain Profile\Windows Firewall: Domain: Firewall state
Seleccione Activado (recomendado)

para que el Firewall de Windows con Para implementar la configuracin recomendada, configure el
seguridad avanzada utilice la siguiente Group Polity en 1:
Configure 'Windows
configuracin de este perfil para
Firewall: Private: Firewall
filtrar el trfico de red. Computer Configuration\Windows Settings\Security
state' en 'On
Si el firewall est desactivado todo el Settings\Windows Firewall with Advanced Security\Windows
(recommended)'
trfico ingrsar al sistema y un Firewall with Advanced Security\Windows Firewall
atacante podra de forma ms Properties\Private Profile\Windows Firewall: Private: Firewall state
sencilla explotar de forma remota
57
Tema:
una debilidad en un servicio de red.
Esta configuracin controla si los
administradores locales pueden crear Para implementar la configuracin recomendada, configure el
reglas de seguridad de conexin que siguiente Group Polity en 1:
Configure 'Windows se aplican junto con las reglas de
Firewall: Public: Apply seguridad de conexin configuradas Computer Configuration\Windows Settings\Security
local connection security por la directiva de grupo. Settings\Windows Firewall with Advanced Security\Windows
rules' en 'Yes' Los usuarios con privilegios Firewall with Advanced Security\Windows Firewall Properties\Public
administrativos pueden crear reglas Profile\Windows Firewall: Public: Apply local connection security
de firewall que exponen el sistema a rules
ataques remotos.
Esta opcin controla la recepcin de siguiente Group Polity en 1:
mensajes unicast de respuesta a
Configure 'Windows
mensajes salientes multicast o Computer Configuration\Windows Settings\Security
Firewall: Public: Allow
broadcating. Un atacante podra Settings\Windows Firewall with Advanced Security\Windows
unicast response' en 'No'
responder con un mensaje multicas o Firewall with Advanced Security\Windows Firewall Properties\Public
broadcasting con cargas maliciosas. Profile\Windows Firewall: Public: Allow unicast response
Tema:
1.1.4.5. Polticas de bloqueo de cuentas
Esta configuracin de directiva
siguiente Group Polity en 15 o superior:
determina el perodo de tiempo en
Configure 'Account lockout
minutos que debe transcurrir antes
duration' en '15' or Computer Configuration\Windows Settings\Security
de que una cuenta bloqueada se
greater Settings\Account Policies\Account Lockout Policy\Account lockout
desbloquea y el usuario puede
duration
intentar iniciar sesin de nuevo.
This policy setting determines the Para implementar la configuracin recomendada, configure el
number of failed logon attempts siguiente Group Polity en 6 inferior:
Configure 'Account lockout
before a lock occurs.
threshold' en '6' or fewer
Ataques a las contraseas podran Computer Configuration\Windows Settings\Security
utilizar mtodos automatizados para Settings\Account Policies\Account Lockout Policy\Account lockout
58
Tema:
tratar a millones de combinaciones threshold
de contraseas para cualquier cuenta
de usuario. La eficacia de este tipo
de ataques puede ser casi eliminado
si se limita el nmero de inicios de
sesin fallidos que se pueden
realizar.
determina el perodo de tiempo antes
de que el umbral de bloqueo de
cuentas se restablezca a cero.
Los usuarios pueden bloquear
accidentalmente sus cuentas si por Para implementar la configuracin recomendada, configure el
error digitan erradamente sus siguiente Group Polity en 15 o superior:
Configure 'Reset account
contraseas varias veces. Para
lockout counter after' en
reducir la posibilidad de bloqueos Computer Configuration\Windows Settings\Security
'15' or greater
accidentales, la opcin Reset Settings\Account Policies\Account Lockout Policy\Reset account
account lockout counter after lockout counter after
setting, determina el nmero de
minutos que deben transcurrir antes
de que el contador que registra los
intentos de inicio de sein fallidos se
pone en 0.
Esta directiva determina si el sistema
operativo almacenar las
contraseas en un formato que
utiliza cifrado reversible, el cual
proporciona soporte para los
siguiente Group Polity en
Configure 'Store passwords protocolos de aplicacin que
using reversible requieren conocer la contrasea del
Disabled. Computer Configuration\Windows Settings\Security
encryption' en 'Disabled' usuario con fines de autenticacin.
Settings\Account Policies\Password Policy\Store passwords using
Las contraseas que se almacenan
reversible encryption
con cifrado reversibles son
esencialmente las mismas que se
almacenaran en versiones de texto
claro de las contraseas.
59
Tema:
Al habilitar esta configuracin de
directiva permite que el sistema
operativo para almacenar las
contraseas en un formato ms dbil
que es mucho ms susceptible de
comprometer y debilita la seguridad
del sistema.
Esta directiva determina el nmero
mnimo de caracteres que componen
una contrasea para una cuenta de
usuario.
Los tipos de ataques a contraseas
incluyen ataques de diccionario (que
siguiente Group Polity en 14 o superior:
Configure 'Minimum tratan de usar palabras y frases
password length' en '14' corrientes) y los ataques de fuerza
or greater bruta (que tratan todas las
Settings\Account Policies\Password Policy\Minimum password
combinaciones posibles de
length
caracteres). Adems, los atacantes a
veces tratan de obtener la base de
datos de cuentas de usuario para
utilizar herramientas para descubrir
las cuentas y contraseas.
Esta directiva define el tiempo que
un usuario puede utilizar su
contrasea antes de que caduque.
Los valores posibles para esta
poltica son entre 0 a 999 das. Si se
establece el valor en 0, la contrasea
Configure 'Maximum siguiente Group Polity en 60 o menos:
nunca caduca. El valor
password age' en '60' or
predeterminado para esta
less Computer Configuration\Windows Settings\Security Settings\Account
configuracin de directiva es de 42
Policies\Password Policy\Maximum password age
das.
Cuanto ms tiempo sea vigente una
contrasea ms alta es la
probabilidad de que se vea
comprometida por un ataque de
60
Tema:
fuerza bruta, que un atacante la
obtenga por conocimientos generales
sobre el usuario, o que el usuario
comparta la contrasea. La
configuracin de este valor en 0
indica que el usuarios no est
obligado a cambiar sus contrasea lo
que puede suponer un riesgo
importante debido a que es posible
que una contrasea comprometida
sea utilizada por un usuario malicioso
durante el tiempo que el usuario
vlido tiene autorizado el acceso.
de contraseas nicas que pueden
ser asociadas con una cuenta de
usuario antes de poder volver a
utilizar una contrasea antigua. El Para implementar la configuracin recomendada, configure el
Configure 'Enforce valor de esta configuracin de siguiente Group Polity en 24 o superior:
password history' en '24' directiva debe estar entre 0 y 24
or greater contraseas. Para mantener la Computer Configuration\Windows Settings\Security
eficacia de esta configuracin de Settings\Account Policies\Password Policy\Enforce password history
directiva, utilice el ajuste de la edad
mnima de la contrasea para evitar
que los usuarios cambien sus
contraseas en varias ocasiones.
de das que debe utilizar una
contrasea antes de poder
cambiarla. El rango de valores para
Configure 'Minimum siguiente Group Polity en 1 o superior:
esta configuracin de directiva se
password age' en '1' or
encuentra entre 1 y 999 das.
greater Computer Configuration\Windows Settings\Security
(Tambin puede establecer el valor
Settings\Account Policies\Password Policy\Minimum password age
en 0 para permitir cambios de
contrasea inmediatos.) El valor
predeterminado para este parmetro
61
Tema:
es de 0 das.
comprueba todas las contraseas
nuevas para garantizar que cumplen
los requisitos bsicos de la poltica de
contraseas seguras.
Cuando se habilita esta directiva, las
contraseas deben cumplir los
siguientes requisitos mnimos:
No contener el nombre o parte del
nombre completo del usuario y que
tengan ms de dos caracteres
consecutivos de la cuenta del usuario
siguiente Group Polity en Enabled:
Configure 'Password must Tener por lo menos seis caracteres
meet complexity de longitud
requirements' en 'Enabled' Contener caracteres de tres de las
Settings\Account Policies\Password Policy\Password must meet
siguientes cuatro categoras:
complexity requirements
Los caracteres en maysculas en
ingls (A a Z)
minsculas Ingls (A a Z)
Base 10 dgitos (del 0 al 9)
Los caracteres no alfabticos (por
ejemplo,!, $, #,%)
Una categora catch-all de
cualquier carcter Unicode que no
cae bajo las cuatro categoras
anteriores. Esta quinta categora
puede ser especfico a nivel regional
Tema:
1.1.4.6. Plantillas administrativas
Security: Configure Esta directiva especifica el tamao Para implementar la configuracin recomendada, configure el
62
Tema:
'Maximum Log Size (KB)' mximo del archivo de registro en siguiente Group Polity en 196608.
en 'Enabled:196608' kilobytes. Si habilita esta
configuracin de directiva, puede Computer Configuration\Administrative Templates\Windows
configurar el tamao mximo de Components\Event Log Service\Security\Maximum Log Size (KB)
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Esta directiva controla el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamao mximo. Eventos
antiguos pueden o no pueden ser Para implementar la configuracin recomendada, configure el
retenidos de acuerdo con la siguiente Group Polity en Disabled.
Configure 'Retain old
configuracin de la directiva Backup
events' en 'Disabled'
log automatically when full. Computer Configuration\Administrative Templates\Windows
Si no se registran los nuevos eventos Components\Event Log Service\Security\Retain old events
puede ser difcil o imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Esta directiva especifica el tamao
mximo del archivo de registro en
kilobytes. Si habilita esta
Aplication: Configure siguiente Group Polity en Enabled. Despus configure la opcin
configuracin de directiva, puede
'Maximum Log Size (KB)' disponible en 32768.
configurar el tamao mximo de
en 'Enabled:32768'
archivo de registro para estar entre 1
(Scored) Computer Configuration\Administrative Templates\Windows
megabyte (1024 kilobytes) y 2
Components\Event Log Service\Application\Maximum Log Size (KB)
Esta directiva controla el Para implementar la configuracin recomendada, configure el
comportamiento del Registro de siguiente Group Polity en Disabled.
Configure 'Retain old eventos cuando el archivo de registro
events' en 'Disabled' alcanza su tamao mximo. Eventos Computer Configuration\Administrative Templates\Windows
antiguos pueden o no pueden ser Components\Event Log Service\Application\Retain old events
retenidos de acuerdo con la
63
Tema:
log automatically when full.
Si no se registran los nuevos eventos
Esta directiva especifica el tamao
mximo del archivo de registro en
kilobytes. Si habilita esta Para implementar la configuracin recomendada, configure el
System: Configure configuracin de directiva, puede siguiente Group Polity en 32768.
'Maximum Log Size (KB)' configurar el tamao mximo de
en 'Enabled:32768' archivo de registro para estar entre 1 Computer Configuration\Administrative Templates\Windows
megabyte (1024 kilobytes) y 2 Components\Event Log Service\System\Maximum Log Size (KB)
Esta directiva controla el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamao mximo. Eventos
antiguos pueden o no pueden ser Para implementar la configuracin recomendada, configure el
retenidos de acuerdo con la siguiente Group Polity en Disabled.
Configure 'Retain old
events' en 'Disabled'
log automatically when full. Computer Configuration\Administrative Templates\Windows
Si no se registran los nuevos eventos Components\Event Log Service\System\Retain old events
Autoplay inicia la lectura del drive
tan pronto como se inserta el medio
Configure 'Turn off siguiente Group Polity en All drives.
en el drive, lo cual causa que el
Autoplay' en 'Enabled:All
archive de configuracin de
drives' Computer Configuration\Administrative Templates\Windows
programas o audio inicie
Components\AutoPlay Policies\Turn off Autoplay
automticamente.
Configure 'Always install Indica a Windows Installer que utilice Para implementar la configuracin recomendada, configure el
64
Tema:
with elevated privileges' en los permisos del sistema cuando se siguiente Group Polity en Disabled.
'Disabled' instala cualquier programa en el
sistema. Computer Configuration\Administrative Templates\Windows
Los usuarios con privilegios limitados Components\Windows Installer\Always install with elevated
pueden explotar esta caracterstica privileges
creando un paquete de instalacin de
Windows Installer que cree una
nueva cuenta local que pertenece
grupo de administradores locales,
aada su cuenta al grupo
Administradores, instale software
malicioso, o realice otras actividades
no autorizadas.
65
1.1.5. Referencias
1.1.5.3. Microsoft Windows

Microsoft Windows Server 2008 R2: Secure Your Windows Server:
http://technet.microsoft.com/en-us/magazine/hh987048.aspx
Gua paso a paso de la opcin de instalacin Server Core de Windows Server 2008 en
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx
Microsoft Free Security Tools Microsoft Baseline Security Analyzer
(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-security-
tools-microsoft-baseline-security-analyzer.aspx)
1.1.5.4. Other Misc Documentation

Windows 2008R2 Server Hardening Checklist.
https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
1.1.5.5. The Center for Internet Security

Free Benchmark documents and security tools for various OS platforms and
applications. CIS Microsoft Windows Server 2008 R2: http://www.cisecurity.org

Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01 PDF

Cargado por

Copyright:

Formatos disponibles

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT

VERSIN WINDOWS SERVER 2008 R2

Autor: IBM de Colombia S.A.

Elaborado por Fecha Versin

1.1 Estndares para Aseguramiento de Servidores Windows

1.1.1 Recomendaciones y supuestos

Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a

En el contexto de este documento, un usuario Administrador es definido como la

Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente

Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a

Estas guan han sido elaboradas desde el punto de vista de la seguridad de la

Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de

1.1.2 Planeacin de la Instalacin

Cuando se est realizando aseguramiento de un servidor con Windows Server 2008

1.1.2.1 Aislamiento de las funciones del servidor

Una de las primeras tareas dentro de la planeacin de la seguridad antes del

Es comprensible que algunas veces el uso de un servidor independiente para cada

La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por

1.1.2.2 Use server core

Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para

Debido a que las implementaciones de Server Core ejecutan un conjunto mnimo de

Desafortunadamente, no se puede utilizar Server Core para todas las

No se puede realizar la actualizacin a una instalacin Server Core desde una

No se puede realizar la actualizacin a una instalacin Server Core desde una

No se puede realizar la actualizacin desde una instalacin Server Core a una

1.1.2.3 Use Microsoft Security Compliance Manager (SCM)

Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando

El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de

Ilustracin 1 Diferentes categoras de Security Compliance Manager

Para obtener ms informacin sobre Security Compliance Manager, consulte:

Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-

1.1.3 Actualizaciones de Windows

Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento

Windows Server Update Services (WSUS) proporciona un servicio de

1.1.3.2 Valide el sistema antes de hacer cambios

Asegrese que el sistema est funcionando correctamente antes de hacer cambios,

1.1.4 Estndar para Windows Server 2008 R2

Para implementar la configuracin recomendada, configure el

Permite la descarga, instalacin y ejecucin Para implementar la configuracin recomendada, configure el

Proporciona una interfaz comn y un Para implementar la configuracin recomendada, configure el

Para implementar la configuracin recomendada, configure el

La cuenta de invitado por omisin permite

Si esta configuracin de directiva est

Para implementar la configuracin recomendada, configure el

Esta configuracin determina la fortaleza Para implementar la configuracin recomendada, configure el

Para implementar la configuracin recomendada, configure el

Esta subcategora informa cada evento de

Esta subcategora informa de los resultados

Seleccione Activado (recomendado)

1.1.5.3. Microsoft Windows

1.1.5.4. Other Misc Documentation

1.1.5.5. The Center for Internet Security

También podría gustarte