Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta
medida (el tema es discutible). Sin embargo, Linux tiene un modelo de seguridad
incorporado por defecto. Pero tambin tiene la necesidad de ajustar y personalizarla segn
sus necesidades que te pueden ayudar a hacer que el sistema sea ms seguro. Haciendo
Linux ms difcil de manejar, y ofrece ms flexibilidad y opciones de configuracin.
2. La creacin de particiones
Es importante tener diferentes particiones para obtener mayor seguridad de los datos en
caso de que si ocurre cualquier desastre. Mediante la creacin de diferentes particiones,
los datos pueden ser separados y agrupados.
Una vez que hayas averiguado cualquier servicio no deseado que se est ejecutando,
desactivarlos mediante el siguiente comando.
# chkconfig serviceName off
Utilice el gestor de paquetes RPM, como herramientas "yum" o "apt-get" para listar
todos los paquetes instalados en un sistema y eliminarlos mediante el siguiente comando.
# yum -y remove package-name
# sudo apt-get remove package-name
Nunca entre directamente como root a menos que sea necesario. Utilice "sudo" para
ejecutar comandos. sudo se especifican en /etc/sudoers tambin puede ser editado con
la utilidad "visudo", que se abre en el editor VI.
Tambin es recomendable cambiar el nmero de puerto 22 por defecto SSH por otro
nmero de puerto ms alto. Abra el archivo principal de configuracin de SSH y edite
algunos parmetros siguientes para evitar que los usuarios tengan acceso.
# vi /etc/ssh/sshd_config
7. Cronjobs Lockdown
Cron tiene su propia funcin incorporada, donde permite especificar quin puede y quin
no lo desea, ejecutar los trabajos. Esto se controla mediante el uso de archivos
llamado /etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario utilizando cron,
slo tiene que aadir los nombres de usuario en cron.deny y permitir a un usuario
ejecutar cron, complemento en el archivo cron.allow. Si desea desactivar todos los
usuarios el uso de cron, agregue la lnea "ALL" en el archivo cron.deny.
# echo ALL >>/etc/cron.deny
9. Active SELinux
Security-Enhanced Linux (SELinux) es un mecanismo de seguridad de control de
acceso obligatorio previsto en el kernel. Deshabilitando SELinux significa la eliminacin de
mecanismo de seguridad del sistema. Piense dos veces antes de desactivarlo, si su
sistema est conectado a Internet y se accede por el pblico, luego considere y piense un
poco ms en l.
1. Cumplimiento: Este es el modo por defecto que permitan y hacer cumplir la poltica de
seguridad de SELinux en la mquina.
2. Tolerante: En este modo, SELinux no har cumplir la poltica de seguridad en el sistema, slo
advertir y registrar las acciones. Este modo es muy til en trminos de resolucin de
problemas relacionados con SELinux.
3. Desactivado: SELinux est apagado.
Puede ver el estado actual del modo de SELinux desde la lnea de comandos
con "system-config-selinux 'comandos' sestatus' o 'getenforce '.
# sestatus
Agregue la lnea siguiente a la seccin 'password' para no permitir que un usuario vuelva
a utilizar una vieja contrasea.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5
Parmetros
1. -M Nmeo el nmero mximo de das
2. -m nmero mnimo de das
3. -W Ajuste el nmero de das de aviso
Nota: El usuario bloqueado est disponible slo para el usuario root. El bloqueo se lleva a
cabo mediante la sustitucin de contrasea cifrada con una cadena (!). Si alguien trata de
acceder al sistema utilizando esta cuenta, recibir un error similar al siguiente.
# su - accountName
This account is currently not available.
Lea tambin:
# vi /etc/pam.d/system-auth
Y agregue la lnea con los parmetros de crdito, (lcredit, ucredit, dcredi t
y/o ocredit respectivamente minsculas, maysculas, dgitos y otros)
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2
dcredit=-2 ocredit=-1
Esto se define en el archivo '/etc/inittab', si te fijas bien en ese archivo, ver una lnea
similar a la siguiente. Por lnea por defecto no est comentada. Tenemos que comentar a
cabo. Este particular secuencia de teclas de sealizacin ser apagado el sistema.
# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
1. /var/log/message - Donde estn disponibles los registros del sistema entero o registros de
actividad actuales.
2. /var/log/auth.log - Registros de autenticacin.
3. /var/log/kern.log - logs del kernel.
4. /var/log/cron.log - logs crond (cron).
5. /var/log/maillog - los registros del servidor de correo.
6. /var/log/boot.log - registro de arranque del sistema.
7. /var/log/mysqld.log - archivo de registro del servidor de bases de datos MySQL.
8. /var/log/secure - registro de autenticacin.
9. /var/log/utmp o /var/log/wtmp: Login archivo de registros.
10. /var/log/yum.lo g: archivos de registro de Yum.
NIC Bonding nos ayuda a evitar puntos de fallo. En unin NIC, que es unir dos o
ms tarjetas de red Ethernet juntos y hacemos una interfaz virtual nico donde se
puede asignar una direccin IP a hablar con otros servidores. Nuestra red estar
disponible en el caso de una tarjeta NIC est inactivo o no est disponible por cualquier
motivo.
24. Mantener / arrancar en modo de slo lectura
Linux kernel y los archivos relacionados se encuentran en el directorio /boot, que es por
defecto como de lectura y escritura. Cambiar a slo lectura reduce el riesgo de
modificacin no autorizada de archivos de arranque crticos. Para ello, abra el archivo
"/etc/fstab".
# vi /etc/fstab
Tenga en cuenta que usted necesita reiniciar para restablecer el cambio de lectura y
escritura si necesita actualizar el kernel en el futuro.
Nikto Web Scanner es una otra buena herramienta para el arsenal de cualquier
administrador de Linux. Es un escner de cdigo abierto distribuido bajo la licencia GPL,
que se utiliza para llevar a cabo pruebas exhaustivas en los servidores Web por varios
elementos, entre ellos ms de 6.500 potencialmente peligrosos archivos / CGIs.
Est escrito por Chris Solo y David Lodge para la evaluacin de vulnerabilidades,
comprueba versiones no actualizadas sobre 1250 servidores web y ms de 250 problemas
especficos de versin. Tambin escanea e informa sobre software y plugins del servidor
web obsoletas.
Caractersticas de Nikto Web Scanner
Soporta SSL
Soporta proxy http completo
Soporta texto, HTML, XML y CSV para guardar los informes.
Analiza en busca de varios puertos
Se puede escanear en varios servidores mediante la adopcin de las entradas de los archivos
como salida de nmap
Soporte LibWhisker IDS
Es lo suficientemente capaz de identificar el software instalado con encabezados, archivos y
favicons
Registros para Metasploits
Informes sobre encabezados "inusuales".
Apache y enumeracin de usuario cgiwrap
Autenticar anfitriones con Basic y NTLM
Los anlisis pueden ser auto detenerse porl tiempo especificado.
Requisitos Nikto
El sistema bsico es: Perl, Perl Modules, OpenSSL, la instalacin debe permitir a Nikto
funcionar. Se ha probado a fondo en Windows , Mac OSX y varios Unix / Linux, en
distribuciones como Red Hat , Debian , Ubuntu , BackTrack , etc
Escriba primero:
chkconfig --list
O simplemente utilizar el siguiente comando para ver los servicios que se activan slo para
el nivel de ejecucin 3.
A continuacin, podra utilizar un comando como este para eliminar el servicio de puesta
en marcha.
Deshabilitar IPv6 es la opcin ms fcil, pero si por alguna razn que lo requiere, entonces
debera configurar un firewall IPv6.
# Para evitar justo lo anterior, quitando los permisos a aquellos directorios en los que
"otros" puede escribir:
chmod o-x `find . -type d -perm /o+w`
Desembale con una utilidad de gestor de archivos o utilizar el comando tar siguiente.
[root@linuxparty ]# tar -xvf nikto-2.1.5.tar.gz
Ahora, ejecute el Nikto script utilizando el comando perl como se muestra a continuacin.
[root@linuxparty ]# cd nikto-2.1.5
[root@linuxparty nikto-2.1.5]# perl nikto.pl
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ ERROR: No host specified
Note: This is the short help output. Use -H for full help text.
El "ERROR: Host no especificado" est diciendo claramente que no hemos incluido los
parmetros necesarios al hacer una prueba. Por lo tanto, tenemos que aadir unos
parmetros bsicos necesarios para hacer una prueba.
Pruebas bsicas
La exploracin bsica requiere un host que desea orientar su campaa, por defecto
escanea el puerto 80, si no se especifica nada. El host puede ser un nombre de host o una
direccin IP de un sistema. Se puede especificar un host mediante "la opcin -h ". Por
ejemplo, quiero hacer una exploracin en una IP 172.16.27.56 en el puerto TCP 80 .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 80
+ Start Time: 2014-01-10 00:48:12 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Retrieved x-powered-by header: PHP/5.3.3
+ The anti-clickjacking X-Frame-Options header is not present.
+ Server leaks inodes via ETags, header found with file /robots.txt, inode:
5956160, size: 24, mtime: 0x4d4865a054e32
+ File/dir '/' in robots.txt returned a non-forbidden or redirect HTTP code
(200)
+ "robots.txt" contains 1 entry which should be manually viewed.
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Multiple index files found: index.php, index.htm, index.html
+ DEBUG HTTP verb may show server debugging information. See
http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable
to XST
+ OSVDB-3233: /phpinfo.php: Contains PHP configuration information
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP
reveals potentially sensitive information via certain HTTP requests that
contain specific QUERY strings.
+ OSVDB-3092: /test.html: This might be interesting...
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ /connect.php?path=http://cirt.net/rfiinc.txt?: Potential PHP MySQL database
connection string found.
+ OSVDB-3092: /test.php: This might be interesting...
+ 6544 items checked: 0 error(s) and 16 item(s) reported on remote host
+ End Time: 2014-01-10 00:48:23 (GMT5.5) (11 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 443
---------------------------------------------------------------------------
+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control
Validated/CN=*.mid-day.com
Ciphers: DHE-RSA-AES256-GCM-SHA384
Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield
Technologies,
Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure
Certification Authority/serialNumber=10688435
+ Start Time: 2014-01-10 01:08:26 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Server leaks inodes via ETags, header found with file /, inode: 2817021,
size: 5, mtime: 0x4d5123482b2e9
+ The anti-clickjacking X-Frame-Options header is not present.
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Server is using a wildcard certificate: '*.mid-day.com'
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable
to XST
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6544 items checked: 0 error(s) and 8 item(s) reported on remote host
+ End Time: 2014-01-10 01:11:20 (GMT5.5) (174 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
Tambin puede especificar los hosts, puertos y protocolos utilizando una direccin URL
completa, y ser escaneada.
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://172.16.27.56:80
Tambin puede escanear cualquier sitio web. Por ejemplo, aqu hice una exploracin en
google.com .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://www.google.com
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 173.194.38.177
+ Target Hostname: www.google.com
+ Target Port: 80
+ Start Time: 2014-01-10 01:13:36 (GMT5.5)
---------------------------------------------------------------------------
+ Server: gws
+ Cookie PREF created without the httponly flag
+ Cookie NID created without the httponly flag
+ Uncommon header 'x-frame-options' found, with contents: SAMEORIGIN
+ Uncommon header 'x-xss-protection' found, with contents: 1; mode=block
+ Uncommon header 'alternate-protocol' found, with contents: 80:quic
+ Root page / redirects to:
http://www.google.co.in/?gws_rd=cr&ei=xIrOUomsCoXBrAee34DwCQ
+ Server banner has changed from 'gws' to 'sffe' which may suggest a WAF,
load balancer or proxy is in place
+ Uncommon header 'x-content-type-options' found, with contents: nosniff
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ File/dir '/groups/' in robots.txt returned a non-forbidden or redirect HTTP
code (302)
.
El comando anterior llevar a cabo un montn de peticiones http (es decir, ms de 2.000
pruebas) en el servidor web.
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ No web server found on cmsstage.mid-day.com:88
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 80
+ Start Time: 2014-01-10 20:38:26 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Retrieved x-powered-by header: PHP/5.3.3
+ The anti-clickjacking X-Frame-Options header is not present.
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 443
---------------------------------------------------------------------------
+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control
Validated/CN=*.mid-day.com
Ciphers: DHE-RSA-AES256-GCM-SHA384
Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield
Technologies,
Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure
Certification Authority/serialNumber=10688435
+ Start Time: 2014-01-10 20:38:36 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ All CGI directories 'found', use '-C none' to test none
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
.....
Utilizar un proxy
Digamos que un sistema en el que se est ejecutando Nikto slo tiene acceso al host de
destino a travs de un proxy HTTP , la prueba todava se puede realizar utilizando dos
maneras diferentes. Uno est utilizando nikto.conf archivo y otra forma es ejecutar
directamente desde la lnea de comandos .
Bsqueda de la "variable proxy "y elimine el comentario ' # 'desde el principio de las lneas
como se muestra. A continuacin, agregue el host proxy , puerto , usuario de proxy y la
contrasea . Guarde y cierre el archivo.
# Proxy settings -- still must be enabled by -useproxy
PROXYHOST=172.16.16.37
PROXYPORT=8080
PROXYUSER=pg
PROXYPASS=pg
Ahora, ejecute el Nikto usando " -useproxy opcin ". Por favor, tenga en cuenta que todas
las conexiones sern retransmitidos a travs del proxy HTTP .
root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -p 80 -useproxy
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 127.0.0.1
+ Target Hostname: localhost
+ Target Port: 80
+ Start Time: 2014-01-10 21:28:29 (GMT5.5)
---------------------------------------------------------------------------
+ Server: squid/2.6.STABLE6
+ Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6)
+ The anti-clickjacking X-Frame-Options header is not present.
+ Uncommon header 'x-squid-error' found, with contents:
ERR_CACHE_ACCESS_DENIED 0
+ Uncommon header 'x-cache-lookup' found, with contents: NONE from
netserv:8080
Usando la lnea de comandos
Para ejecutar el Nikto directamente desde la lnea de comandos con el " -useproxy
opcin "configurando el proxy como argumento.
root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -useproxy
http://172.16.16.37:8080/
Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 127.0.0.1
+ Target Hostname: localhost
+ Target Port: 80
+ Start Time: 2014-01-10 21:34:51 (GMT5.5)
---------------------------------------------------------------------------
+ Server: squid/2.6.STABLE6
+ Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6)
+ The anti-clickjacking X-Frame-Options header is not present.
+ Uncommon header 'x-squid-error' found, with contents:
ERR_CACHE_ACCESS_DENIED 0
+ Uncommon header 'x-cache-lookup' found, with contents: NONE from
netserv:8080
Actualizacin de Nikto
Puede actualizar Nikto a los ltimos plugins y bases de datos de forma automtica,
simplemente ejecute la " actualizacin del sistema ".
[root@localhost nikto-2.1.5]# perl nikto.pl -update
Maligno es una herramienta de pruebas de penetracin de cdigo abierto que sirve cargas
tiles Metasploit. Genera cdigo shell con msfvenom y la transmite a travs de HTTP o
HTTPS. El cdigo shell se cifra con AES y se codifica con Base64 antes de la transmisin.
Esta es una coleccin de herramientas que pueden ser tiles para usted, si usted es un
pentester o consultor de seguridad. Todo el cdigo fuente publicado en este sitio web est
licenciado bajo la licencia FreeBSD.
http://www.encripto.no/tools/
COMMAND LIST
============
Hay una serie de aplicaciones de software keylogger para casi todas las plataformas ya
sea Windows, Mac, Linux. Aqu estamos echaremos un vistazo a un un paquete de
aplicaciones llamado Logkeys.
Qu es Logkeys?
Logkeys es un keylogger Linux. Est ms actualizada que cualquier otro keylogger
disponible, Adems logkeys no bloquea el servidor X, y parece que funciona en todas las
situaciones. Logkeys crea un registro de todos los caracteres y las teclas de funcin.
Adems logkeys captura la pulsacin de Alt y Shift y trabaja bien con las de serie, as
como teclados USB.
Hay un montn de keyloggers para Windows, pero este no es el caso de Linux. Logkeys no
es mejor que cualquier otra aplicacin keylogger para Linux, pero sin duda es la que ms
actualizada se encuentra.
Caractersticas
Solucionados problemas con las CPU X86_64
Correccin de errores
Eliminada dependencia pgrep
ID de proceso (PID) en /var/ run
Solucionadas vulnerabilidades
Solucionados problemas de seguridad
Uploading registro remoto en HTTP
Reconoce teclado USB
Si alguna vez has instalado paquetes tarball de cdigos fuentes en Linux, entonces puede
instalar fcilmente paquetes logkeys. Si usted no ha instalado un paquete en Linux tarball,
entonces usted tendr que instalar algunos paquetes que faltan, como el compilador C++
y libreras gcc antes de proceder a la instalacin de la fuente.
https://code.google.com/p/logkeys/downloads/list
Tambin puede utilizar el comando wget para descargar la ltima fuente e instalarlo como
se muestra a continuacin.
$ sudo apt-get install build-essential [en sistemas basados en Debian]
# yum install gcc make gcc-c++ [en sistemas basados en RedHat]
$ wget https://logkeys.googlecode.com/files/logkeys-0.1.1a.tar.gz
$ tar xvzf logkeys-0.1.1a.tar.gz
$ cd logkeys-0.1.1a
$ ./configure
$ make
$ sudo make install
Ejemplo de salida
Generating locales...
aa_DJ.UTF-8... done
aa_ER.UTF-8@saaho... done
aa_ER.UTF-8... done
aa_ET.UTF-8... done
af_ZA.UTF-8... done
am_ET.UTF-8... done
an_ES.UTF-8... done
ar_AE.UTF-8... done
ar_BH.UTF-8... done
ar_DZ.UTF-8... done
ar_EG.UTF-8... done
ar_IN.UTF-8... done
ar_IQ.UTF-8... done
ar_JO.UTF-8... done
ar_KW.UTF-8... done
ar_LB.UTF-8... done
ar_LY.UTF-8... done
ar_MA.UTF-8... done
ar_OM.UTF-8... done
ar_QA.UTF-8... done
ar_SA.UTF-8... done
ar_SD.UTF-8... done
.......
Generation complete.
Usos de logkeys
logkeys s: iniciar el registro de pulsacin de tecla.
logkeys k: Matar proceso logkeys.
Para informacin detallada de logkeys opcin Usos, siempre se puede referir.
# logkeys help
o
# man logkeys
Compruebe el archivo de registro que por defecto es '/ var / log / logkeys.log'.
# nano /var/log/logkeys.log
Fondo y Resumen
Este documento describe opciones de configuracin de seguridad recomendada de Windows 8.1,
Windows Server 2012 R2 y Internet Explorer 11, usando las instantneas publicadas anteriormente para
Windows 8, Windows Server 2012 y Internet Explorer 10 como punto de partida. Estas directrices estn
diseadas para empresas bien administradas.
Algunos de los cambios ms interesantes de las lneas de base de Windows 8/2012/IE10:
Uso de ajustes nuevos y existentes para ayudar a bloquear algunos pasar los vectores de ataque
de Hash
Bloquear el uso de los navegadores web en controladores de dominio
Incorporacin de la mayor mitigacin experiencia Toolkit (EMET) en las lneas de base estndar
Eliminacin de ajustes de inicio de servicio casi todos y todas servidor rol las instantneas que
contienen slo servicio de ajustes de arranque
Retiro de la recomendacin para activar el "Modo FIPS"
Contenido
Fondo y Resumen
Configuracin de nuevo en Windows 8.1 y Windows Server 2012 R2
Configuracin de nuevo a Internet Explorer 11
Cambios a la configuracin heredada de las instantneas existentes
Cambios en todas las instantneas de producto de Windows Server
Pasar el Hash
Bloquear el uso de los navegadores Web en controladores de dominio
EMET
Direccin actualizada
Avanzadas de auditora
Recomendaciones de Windows eliminados
Quitar Internet Explorer recomendaciones
Errores
Equipo Configuracin de Evitar habilitar cmara de la pantalla de bloqueo N/A Habilitado Usuario no autenticado puede crear
usuario\Plantillas contenido en la carpeta de fotos de
administrativas\Panel usuario (manipulacin, rechazo,
Panel\Personalization denegacin de servicio)
Equipo Configuracin de Evitar que permite bloquear pantalla de diapositivas N/A Habilitado Informacin potencialmente confidenc
usuario\Plantillas de registra en la carpeta de imgenes d
administrativas\Panel usuario aparece en escritorio bloquead
Panel\Personalization (divulgacin de informacin)
Equipo Configuracin del Incluye lnea de comandos en los eventos de creacin de N/A No se configura Activar nicamente cuando sea
equipo\Plantillas proceso necesario; lo contrario es un atacante c
Templates\System\Audit derechos de administrador un montn
proceso creacin datos, potencialmente incluyendo
contraseas (por ejemplo, de una lnea
comandos de uso de red).
Equipo Configuracin del No mostrar la seleccin de red interfaz de usuario N/A Habilitado Usuario no autenticado no debe ser cap
equipo\Plantillas de cambiar las redes. (Manipulacin
administrativas\System\Logon
Equipo Configuracin del Permite cuentas de Microsoft a ser opcional N/A Habilitado Las empresas tienen que ser capaces d
equipo\Plantillas permitir el uso de la aplicacin sin atar
administrativas\Componentes un MSA o cargar automticamente dat
Components\App tiempo de en SkyDrive.
ejecucin
Opciones de inicio de sesin Inicio de sesin usuario interactivo pasado N/A Con Requiere Windows retener las
de equipo Configuracin del automticamente despus de reiniciar el sistema iniciado discapacidad credenciales de texto sin formato-
equipo\Plantillas por el sistema equivalente durante el perodo de
administrativas\Componentes sesiones
Components\Windows
Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
anterior
Equipo equipo\Configuracin Negar el acceso a este equipo desde la red Huspedes Huspedes, Win8.1/2012R2 introduce dos nuevo
Settings\ Asignacin de cuenta Local grupos de pseudo que puede obtener
derechos de local inicio de sesin local cuenta en su ficha
locales\Asignacin que ha sido portado a Windows 7/2008
(para el servidor y posteriores con2871997 KB. Clientes
miembro: cuentas locales deben denegar el inic
invitados, de sesin de red en sistemas Unidos a
cuenta Local y dominio. (Servidor miembro, sustituy
miembro del "Cuenta Local" con la "cuenta Local y
grupo miembro del grupo administradores" p
administradores) evitar romper el failover
clustering.) Tambin, administradores
empresa y administradores de domin
deben tambin denegar el acceso a
todos los clientes y servidores excepto
controladores de dominio y estaciones
trabajo de administracin dedicada.(No
que EA y DA son especficos de domini
no se puede especificar en lneas
genricos como los de SCM).
Equipo equipo\Configuracin Denegar el registro en mediante servicios de escritorio Huspedes Huspedes, Win8.1/2012R2 presenta un pseudo
Settings\ Asignacin de remoto cuenta Local nuevo grupo llamado "Cuenta Local" q
derechos de local cualquier inicio de sesin de cuenta loc
locales\Asignacin se pone en su ficha y que ha sido porta
a Windows 7/2008R2 y posteriores
con 2871997 KB. Los huspedes y cuen
Local deben ser negado sesin de
escritorio remoto en sistemas Unidos a
dominio. Tambin, administradores d
empresa y administradores de domin
deben tambin denegar el acceso a
todos los clientes y servidores excepto
controladores de dominio y estaciones
Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
anterior
Plantillas de equipo Modo de auditora de LSASS.exe N/A No se configura Para obtener ms informacin,
Configuracin del (HKLMSoftwareMicrosoftWindows NTCurrentVersionImage consultehttp://technet.microsoft.com/
equipo\Plantillas\SCM: pasar archivo ejecucin Options\LSASS.exe! AuditLevel us/library/dn408187.aspx
las mitigaciones de Hash
Una costumbre plantilla administrativa
proporciona para que este ajuste pued
configurarse con el editor de directiva
grupo.
Plantillas de equipo Habilitar la proteccin de la LSA N/A No se configura Para obtener ms informacin,
Configuracin del (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL) consultehttp://technet.microsoft.com/
equipo\Plantillas\SCM: pasar us/library/dn408187.aspx
las mitigaciones de Hash
Una costumbre plantilla administrativa
proporciona para que este ajuste pued
configurarse con el editor de directiva
grupo. Tenga en cuenta que en mquin
UEFI-capaz, una vez que se habilita e
valor no se puede desactivar mediant
Directiva de grupo solo.
Taskbar\Notifications y men Desactivar notificaciones de tostadas en la pantalla de N/A Habilitado Divulgacin de informacin
de usuario configuracin del bloqueo
equipo\Plantillas
Templates\Start
Equipo Configuracin de Activar procesos N/A Habilitado Mayor proteccin; se rompern algunos sitios, pero se aplica
usuario\Plantillas ficha de 64 bits slo cuando se aplique la planificacin
administrativas\Componentes cuando se
Windows\Internet ejecuta en modo
Explorer\Panel Control protegido
Panel\Advanced pgina mejorado en
versiones de 64
bits de Windows
Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Control
Panel\Security Page\Intranet
zona
Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Control
Panel\Security Page\Local
zona de la mquina
Windows\Internet programas
Explorer\Panel Panel\Security antimalware
Page\Restricted sitios zona de
Control
Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Panel\Security
Page\Trusted sitios zona de
Control
Pasar el Hash
Los siguientes ajustes de cambios se recomiendan para ayudar a mitigar contra paso el Hash y el robo de credenciales similares ataques.
Todo Plantillas de Aplicar restricciones de UAC a las cuentas locales en los inicios de sesin N/A Permiten Recomienda "Los ataques de
sistem equipo de red (REG_DWO Mitigating Pass-the-Hash
a Configuracin RD 0) (PtH) y otras tcnicas de robo
(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syste
operati del de la
m!LocalAccountTokenFilterPolicy)
vo equipo\Plantilla credencial":http://www.micr
cliente s\SCM: pasar las osoft.com/en-
y mitigaciones de us/download/details.aspx?id
servido Hash =36036
res
Una costumbre plantilla
miemb
administrativa se proporciona
ro
para que este ajuste puede
configurarse con el editor de
directiva de grupo.
Todos Equipo Negar el acceso a este equipo desde la red Huspe Huspedes, Win8.1/2012R2 introduce dos
los Configuracin des cuenta nuevos grupos de pseudo que
sistem Windows\Config Local puede obtener un inicio de
as uracin sesin local cuenta en su
operati seguridad\Direc ficha y que ha sido portado a
vos tivas (para el Windows 7/2008R2 y
locales\Asignaci servidor posteriores con 2871997
n derechos miembro: KB.Clientes y cuentas locales
asignacin invitados, deben denegar el inicio de
cuenta sesin de red en sistemas
Local y Unidos a un
miembro dominio. (Servidor miembro,
del grupo sustituya "Cuenta Local" con
la "cuenta Local y miembro
Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r
Todos Equipo Denegar el registro en mediante servicios de escritorio remoto Huspe Huspedes, Win8.1/2012R2 presenta un
Configuracin des cuenta pseudo nuevo grupo llamado
OS
Windows\Config Local "Cuenta Local" que cualquier
uracin inicio de sesin de cuenta
seguridad\Direc local se pone en su ficha y
tivas que ha sido portado a
locales\Asignaci Windows 7/2008R2 y
n derechos posteriores con2871997
asignacin KB. Los huspedes y cuenta
Local deben ser negado
sesin de escritorio remoto
en sistemas Unidos a un
dominio.Tambin,
administradores de empresa
y administradores de dominio
deben tambin denegar el
Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r
Todos Equipo Denegar el registro en como un trabajo por lotes Huspe Huspedes Tambin, administradores de
los Configuracin des empresa y administradores
sistem Windows\Config de dominio deben tambin
as uracin denegar el acceso a todos
operati seguridad\Direc los clientes y servidores
vos tivas excepto los controladores de
locales\Asignaci dominio y estaciones de
n derechos trabajo de administracin
asignacin dedicada. (Nota que EA y DA
son especficos de dominio y
no se puede especificar en
lneas genricos como los de
SCM).
Todos Equipo Denegar el registro en como un servicio Huspe Huspedes Tambin, administradores de
los Configuracin des empresa y administradores
sistem Windows\Config de dominio deben tambin
as uracin denegar el acceso a todos
operati seguridad\Direc los clientes y servidores
vos tivas excepto los controladores de
locales\Asignaci dominio y estaciones de
trabajo de administracin
dedicada. (Nota que EA y DA
Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r
Todos Plantillas de WDigest autenticacin (desactivacin puede requerir KB2871997) N/A Con WDigest deja contraseas de
los equipo discapacida texto sin formato-equivalente
sistem Configuracin d de los usuarios en la memoria
as del de Lsass.exe. Recomendado
operati equipo\Plantilla en "mitigacin paso el Hash y
vos s\SCM: pasar las otros credenciales robo,
mitigaciones de versin
Hash 2",http://www.microsoft.com
/pth
Todos los Equipo equipo\Configuracin Permiten la Permiten Bloquear los navegadores web en los DCs
servidores Windows\Configuracin aplicacin de
Windows las local\Datos Control normas de
instantneas de Policies\AppLocker ejecutable
"Controlador de
dominio"
Todos los Equipo equipo\Configuracin Bloque de IE FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin
PublisherName = "O =
Windows las local\Datos
MICROSOFT CORPORATION,
instantneas de Policies\AppLocker\Executable
L = REDMOND, S =
"Controlador de las normas de Control
WASHINGTON, C = US"
dominio"
ProductName = "WINDOWS
INTERNET EXPLORER"
Todos los Equipo equipo\Configuracin Bloque de FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin Chrome.exe
PublisherName = "O = GOOGLE
Windows las local\Datos
INC, L = MOUNTAIN VIEW, S
instantneas de Policies\AppLocker\Executable
= CALIFORNIA, C = US"
"Controlador de las normas de Control
dominio" ProductName = "GOOGLE
CHROME"
Lnea de base Camino de la poltica Nombre de la Nuevo valor Razn de ser
Directiva
Todos los Equipo equipo\Configuracin Bloquear Firefox FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin
PublisherName = "O = MOZILLA
Windows las local\Datos
CORPORATION, L =
instantneas de Policies\AppLocker\Executable
MOUNTAIN VIEW, S = CA, C =
"Controlador de las normas de Control
US"
dominio"
ProductName = "FIREFOX"
Todos los Equipo equipo\Configuracin Reglas Permiten que los no Bloquear los navegadores web en los DCs
servidores Windows\Configuracin predeterminadas administradores ejecutar
Windows las local\Datos archivos ejecutables en
instantneas de Policies\AppLocker\Executable archivos de programa
"Controlador de las normas de Control
Permiten que los no
dominio"
administradores ejecutar
archivos ejecutables en
Windir
Todos los Equipo equipo\Configuracin Identidad de la Modo de inicio de servicio = AppLocker requiere AppIDSvc a la
servidores Windows\Configuracin aplicacin automtico ejecucin para hacer cumplir las normas
Windows las Settings\System servicios (AppIDSvc)
instantneas de
"Controlador de
dominio"
EMET
Se recomienda instalar EMET en todas las estaciones de trabajo y servidores, junto con esta configuracin de directiva de Grupo:
Lnea de base Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
Directiva
Todos Equipo Configuracin del Por defecto las N/A Habilitado Protecciones de EMET
equipo\Plantillas protecciones de
OS
Templates\Windows Software
Components\EMET recomendado
Todos Equipo Configuracin del Sistema de ASLR N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-In
OS
Templates\Windows
Components\EMET
Todos Equipo Configuracin del Sistema DEP N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-Out
OS
Templates\Windows
Components\EMET
Todos Equipo Configuracin del Sistema SEHOP N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-Out
OS
Templates\Windows
Components\EMET
Direccin actualizada
Esta seccin define los valores en todas las instantneas cubiertas por este informe que debe agregar o cambiar para que sea coherente con otras lneas de base.
Lnea de Camino de la poltica Nombre de la Directiva Valor anterior Nuevo valor Razn de ser
base
Todos los Equipo Configuracin Especificar el tamao mximo 20480 32768 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\Application operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.
Todos los Equipo Configuracin Especificar el tamao mximo 20480 196608 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\Security operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.
Todos los Equipo Configuracin Especificar el tamao mximo 20480 32768 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\System operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.
Todos Equipo Configuracin del Permite la indizacin de No se configura Con discapacidad Divulgacin de
equipo\Plantillas archivos cifrados informacin;contenido cifrado
OS
Templates\Windows potencialmente entra sin cifrar
Components\Search ndice
Todos Equipo Configuracin Seguridad de red: fuerza cierre No se configura Habilitado Hacer sesin de horas de trabajo
Windows\Configuracin de sesin cuando expire la en la red tambin.
OS
seguridad\Directivas hora de inicio de sesin
locales\Opciones opciones
Todos Equipo Configuracin Control de cuentas de usuario: Pedir Pedir Hacer consistente (tenga en
Windows\Configuracin Comportamiento del indicador consentimiento consentimiento cuenta que el valor real para
OS
seguridad\Directivas de elevacin para los para binarios de en el escritorio Server 2008 tiene que ser
locales\Opciones opciones administradores en modo Windows no seguro "Solicitar autorizacin", como
aprobacin de administrador "escritorio seguro" se especifica
en otra opcin en Server 2008).
Todos Equipo Configuracin Control de cuentas de usuario: Solicitud de Denegar Elevacin del mismo escritorio
Windows\Configuracin Comportamiento del indicador credenciales automticamente UAC no es un lmite de
OS
seguridad\Directivas de elevacin para los usuarios solicitudes de seguridad; hay maneras ms
locales\Opciones opciones estndar elevacin seguras para administrar un
sistema.
Todos los Equipo Configuracin Seguridad de red: permitir No definido Habilitado Agregado a base de servidor
servidores Windows\Configuracin sistema Local con identidad de miembro para ser constante con
miembro seguridad\Directivas equipo para NTLM el cliente y lneas base de
locales\Opciones opciones controlador de dominio
Todos los Equipo Configuracin Seguridad de red: permitir No definido Con discapacidad Agregado a base de servidor
servidores Windows\Configuracin sesiones nulas de LocalSystem miembro para ser constante con
miembro seguridad\Directivas suplencia el cliente y lneas base de
locales\Opciones opciones controlador de dominio
Lnea de Camino de la poltica Nombre de la Directiva Valor anterior Nuevo valor Razn de ser
base
Todos los Equipo Configuracin Tener acceso a este equipo Usuarios, los Usuarios Que sea coherente con la
sistemas Windows\Configuracin desde la red administradores autenticados, los direccin del servidor
operativos seguridad\Directivas administradores
cliente locales\Asignacin derechos
asignacin
Avanzadas de auditora
La gua de Windows 8 y Windows Server 2012 recomienda "No auditora" para muchos entornos donde la intencin era especificar "No definido" y permitir que
las decisiones del cliente. En algunos casos, "No auditora" hizo caso omiso de una cesacin de pagos ms seguro. Hemos intentado solucionar todos los casos
aqu.
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Equipo Configuracin Servicio de autenticacin de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora Kerberos de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin
Todos Equipo Configuracin Auditora de las operaciones de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora Ticket de servicio Kerberos que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin
Todos Equipo Configuracin Auditora de otros eventos de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora inicio de sesin de cuenta que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin
Todos Administracin de equipo Grupo de aplicacin de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Configuracin Settings\Advanced de gestin que permiten a los clientes a decidir
OS
auditora poltica
Configuration\Audit
Policies\Account
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Administracin de equipo Gestin de cuentas de equipo Sin auditora No definido Ningn valor de seguridad; mejor
los Configuracin Settings\Advanced de auditora que permiten a los clientes a decidir
clientes auditora poltica
Configuration\Audit
OS
Policies\Account
Todos Administracin de equipo Auditora de administracin de Sin auditora No definido Ningn valor de seguridad; mejor
Configuracin Settings\Advanced grupo distribuido que permiten a los clientes a decidir
OS
auditora poltica
Configuration\Audit
Policies\Account
Todos Equipo Configuracin Auditora de actividad DPAPI Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Detailed seguimiento
Todos Equipo Configuracin Proceso de terminacin de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
Policy\Configuration\Audit
Policies\Detailed seguimiento
Todos Equipo Configuracin Eventos de auditora de RPC Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Detailed seguimiento
Todos Equipo Configuracin Replicacin de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora directorio detallado de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\DS acceso
Todos Equipo Configuracin Auditora de acceso de servicio Sin auditora No definido Ningn valor de seguridad; mejor
los Settings\Advanced auditora de directorio que permiten a los clientes a decidir
clientes poltica Configuration\Audit
Policies\DS acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
OS
Todos Equipo Configuracin Auditora cambios de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
los Settings\Advanced auditora directorio que permiten a los clientes a decidir
clientes poltica Configuration\Audit
Policies\DS acceso
OS
Todos Equipo Configuracin Replicacin de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora directorio de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\DS acceso
Todos Equipo Configuracin Bloqueo de cuenta de auditora Sin auditora xito "Ninguna auditora" era
Settings\Advanced auditora probablemente una entrada
OS
poltica Configuration\Audit equivocada aqu.
Policies\Logon y cierre de sesin
Todos Equipo Configuracin Auditora IPSec modo extendido Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Todos Equipo Configuracin Modo principal de IPSec Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Todos Equipo Configuracin Modo rpido de IPSec de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Todos Equipo Configuracin Servidor de directivas de red de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Equipo Configuracin Otros eventos inicio/cierre de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora sesin de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Todos Equipo Configuracin Aplicacin de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora generado que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora poltica prueba de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora acceso Central que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora de servicios de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora certificacin que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Recurso compartido de archivos Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora detallado de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Recurso compartido de archivos Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Sistema de archivos de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Equipo Configuracin Auditora de filtrado de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora conexin de la plataforma que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora de filtrado plataforma Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora paquete gota que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora manija de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora manipulacin que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora objeto del ncleo Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Otros eventos de acceso del Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora objeto de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Registro de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Equipo Configuracin Auditora de medios de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora almacenamiento extrables que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Equipo Configuracin Auditora SAM Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Todos Cambio de equipo Configuracin Cambio de poltica de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora autorizacin de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy
Todos Cambio de equipo Configuracin Auditora de cambio de directiva Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora de plataforma de filtrado que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy
Todos Cambio de equipo Configuracin Auditora de cambio de directiva Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora regla MPSSVC que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy
Todos Cambio de equipo Configuracin Otros eventos de cambio de la Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora poltica de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy
Todos Equipo Configuracin Auditora de uso de privilegio no Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora sensibles que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Privilege uso
Todos Equipo Configuracin Otros eventos de uso de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora privilegio de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Privilege uso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior
Todos Equipo Configuracin Otros eventos del sistema de Sin auditora xito y el "Ninguna auditora" era
Settings\Advanced auditora auditora fracaso probablemente una entrada
OS
poltica Configuration\Audit equivocada aqu.
Policies\System
Todos Equipo Configuracin Criptografa de Habilitado No Valor de seguridad limitada; rompe muchos casos de uso
Windows\Configuracin sistema: usar definido legtimo; SSL 3.0 y versiones anterior puede desactivarse a
OS
seguridad\Directivas FIPS algoritmos travs de otros medios. Discutidos en ms detalle aqu:
locales\Opciones compatibles con http://blogs.technet.com/b/secguide/archive/2014/04/07/why-
opciones para cifrado, we-re-not-recommending-fips-mode-anymore.aspx
hash y firma
firmados y
validados
Todos los Instalacin de equipo Especificar el Habilitado: No se Configuracin es especfica del cliente
sistemas Configuracin del servidor de Buscar servidor configura
operativos equipo\Plantillas bsqueda de administrado
Templates\System\Device actualizaciones
de
controladores
de dispositivo
de System\Internet archivos y
comunicacin carpetas
Todos Equipo Configuracin del Permitir el Habilitado No Ningn valor de seguridad (enfrente!)
equipo\Plantillas acceso Shell definido
OS
Templates\ Shell remoto remoto
de Windows
Components\Windows
DC todos Equipo Configuracin Inicio de sesin inicios de 4 No No es aplicable ya que el papel es un controlador de dominio.
Windows\Configuracin interactivo: sesin definido
seguridad\Directivas nmero de
locales\Opciones inicios de sesin
opciones anterior a la
cach (en caso
de controlador
de dominio no
est disponible)
DC todos Equipo Configuracin Inicie sesin Administradores No Direccin anterior evita que algunos escenarios de menor
Windows\Configuracin como un trabajo de definido privilegio.
seguridad\Directivas por lotes
locales\Asignacin
derechos asignacin
Todos Usuario configuracin del Deshabilitar guardar este Habilitado No se Ningn valor de seguridad
equipo\Plantillas programa en la opcin de disco configura
IE
administrativas\Componentes
Components\ Mens de Internet
Explorer\Browser
Todos Equipo Configuracin del Deshabilitar la pgina avanzada Habilitado No se Ningn valor de seguridad
equipo\Plantillas configura
IE
administrativas\Componentes
Components\ Internet
Explorer\panel de Control
Todos Equipo Configuracin del Deshabilitar la pgina seguridad Habilitado No se Ningn valor de seguridad
equipo\Plantillas configura
IE
administrativas\Componentes
Components\ Internet
Explorer\panel de Control
Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
base Directiva
Controlador Equipo Configuracin Servidor de red Con Habilitado Cambiar el valor de columna "Por defecto"
de dominio Windows\Configuracin Microsoft: firmar discapacidad basado en el ajuste incorrecto
seguridad\Directivas digitalmente las porhttp://technet.microsoft.com/en-
locales\Opciones comunicaciones us/library/jj852239.aspx
opciones (siempre)
Controlador Equipo Configuracin Servidor de red Con Habilitado Cambiar el valor de columna "Por defecto"
de dominio Windows\Configuracin Microsoft: firmar discapacidad basado en el ajuste incorrecto
seguridad\Directivas digitalmente las porhttp://technet.microsoft.com/en-
locales\Opciones comunicaciones (si us/library/jj852242.aspx
opciones el cliente est de
acuerdo)